Часть 22 Системный мониторинг

 

†Оглавление†

<<< Предыдущая Глава | Следующая Глава >>>


Столь же важной частью, как и предоставление основных сервисов, является информация и данные о текущих процессах и состоянии системы, которые предоставляет pfSense. Иногда кажется, что коммерческие маршрутизаторы стараются  максимально скрывать от пользователей значительную часть информации, но pfSense  позволяет предоставить пользователю практически любой объём информации.  

 

Системные журналы

По умолчанию, pfSense регистрирует довольно малый объём данных, который  позволяет избежать переполнения хранилища маршрутизатора. Журналы можно обнаружить на вкладке Status >> System Logs в web интерфейсе, и в каталоге /var/log файловой системы. Некоторые компоненты, такие как DHCP и IPsec генерируют достаточно объёмную информацию, поэтому вынесены на отдельные вкладки, в целях улучшения читаемости журналов и поиска требуемой информации. Чтобы увидеть эти журналы, выберите вкладку соответствующей подсистемы. Журналы pfSense ведутся в циркулярном бинарном логе или в clog-формате. Они  имеют фиксированные размеры и никогда не разрастаются. Как следствие - журнал содержит только определённое количество записей, и устаревшие записи удаляются из журнала с приходом новых. Если для вас это проблема - можно скорректировать  поведение журнала, позволив копировать записи на удалённый syslog-сервер, где они могут храниться постоянно и ротироваться с меньшей скоростью. Смотрите раздел 22.1.3 "Удалённое журналирование с syslog" более подробно рассматривающий  настройки данной возможности.

Просмотр журналов

Системные журналы могут быть найдены на вкладке Status >> System Log, меню System. Они содержат записи журнала, непосредственно сгенерированные узлом, некоторыми службами и пакетами, которые не перенаправляются на другие вкладки системного журнала. Как показано на рисунке 22.1 "Пример записей системного журнала" здесь есть записи демона SSH, пакета avahi и клиента динамического DNS.  Здесь же региструются и множество других систем, но большинство сервисов не  будет загружать системный журнал. Обычно, если служба ведёт объёмный журнал, она  перемещает его на собственную вкладку. Обратите внимание, что журналы сконфигурируются и позволяют отображать записи в порядке их обновления - т.е. новые записи появляются в вершине списка. Смотрите следующий раздел, который расскажет о конфигурировании журналов.  

Рисунок 22.1

Изменение настроек журналов

Настройки журналов могут изменяться в меню Status >> System Logs на вкладке  Settings. Здесь вы обнаружите несколько опций определяющих, как журналы будут отображаться на экране. Первая опция <Показать записи журналов в обратном порядке> (Show log entries in reverse order), управляет порядком, в котором  записи журнала выводятся на экран. Установка этой опции приводит к тому, что новые записи журнала выводятся вверху. При отключении этой опции новые записи будут выводится в низ журнала. Многие пользователи считают что оба метода вывода  информации полезны в различных ситуациях.  Следующая опция <Число отображаемых записей журнала> (Number of log entires to  show), позволяет задать число выводимых записей журнала на каждой из вкладок. Фактически, журналы могут содержать больший объём данных и данная опция позволяет ограничить или расширить визуальную информативность журнала. Обычно, каждый пакет блокированный правилом по умолчанию брандмауэра подлежит  регистрации в журнале. Если вы не хотите видеть эти записи, снимите флаг <Вести журнал блокировки пакетов правилом по умолчанию> (Log packets bloked by rule). Опция <Показывать журнал raw-фильтра> (Show raw filter logs) контролирует  вывод закладки журнала <Брандмауэр> (Firewall). Когда она установлена, вывод журнала не будет интерпретироваться синтаксическим парсером, а будет осуществляться в необработанном (сыром) формате. Иногда, это позволяет легче идентифицировать неисправность, либо предоставит службе поддержки больший объём информации, чем предоставляет стандартный вывод брандмауэра. Сырые журналы более  сложно читать и интерпретировать и в большинстве случаев опция остаётся неиспользованной.   После изменения настроек нажмите Save. Оставшиеся опции мы обсудим в следующем разделе. 

Прочие опции меню Status >> Systems Logs на закладке Settings необходимы для настройки демона syslog, позволяющего копировать записи журналов на удалённый сервер. Поскольку журналы хранимые pfSense на самом маршрутизаторе имеют конечный (и достаточно малый) размер, их копирование на syslog-сервер обеспечивает, как возможность поиска и устранения неисправностей, так и возможность длительного хранения записей в случае необходимости. Журналы марщрутизатора очищаются при перезагрузке, а наличие удалённой копии журналов позволяет диагностировать события происходящие непосредственно перед перезагрузкой. Некоторые корпоративный и законодательные политики определяют, сколько времени должны храниться файлы журналов брандмауэров или аналогичных устройств. Если ваша организация требует долгосрочного хранения журналов, вам придётся заняться конфигурирование syslog-сервера.  Для запуска удалённого журналирования, установите Enable sysloging для удалённого syslog-сервера и заполните IP адрес для вашего syslog-сервера Remote Syslog Server. Если вы хотите отключить локальное журналирование, вы можете отметить Disable writing log files to the local ram disk, но обычно этого делать не рекомендуется.  Обычно, syslog-сервер, это сервер напрямую связанный с локальным интерфейсом системы pfSense. Журналирование может осуществляться на сервер через VPN, но для этого могут потребоваться некоторые дополнительные настройки (смотрите раздел 13.4.4 "Трафик инициируемый pfSense и IPsec"). Вы не должны передавать данные syslog непосредственно через WAN интерфейс, поскольку эти данные являются простым текстом и могут содержать значимую информацию.  Установите флаги для типов записей, которые вы хотите копировать на syslog- сервер. Вы можете выбрать удалённую регистрацию системных событий, событий брандмауэра, событий службы DHCP, аутентификации, события VPN либо все виды событий сразу.  Убедитесь, что нажали кнопку Save после изменения настроек. Если увас нет syslog-сервера, его достаточно просто установить. Смотрите раздел 24.3 "Syslog-сервер для Windows с использованием Kiwi Syslog". Практически любой UNIX или его клон могут использоваться в качестве syslog- сервера. FreeBSD syslog-сервер описан в следующем разделе, для иных систем настройки могут несколько отличаться.  

Конфигурирование syslog-сервера на базе FreeBSD

Установка syslog-сервера на основе FreeBSD потребует буквально пары шагов. В следующих примерах, замените 192.168.1.1 на IP адрес вашего брандмауэра, замените exco-rtr именем хоста брандмауэра и замените exco-rtr.example.com полным именем хоста и доменом вашего брандмауэра. Я использовал в данных примерах 192.168.1.1, поскольку рекомендуется работать с внутренним адресом вашего маршрутизатора, а не интерфейм WAN.  Во-первых, вам понадобится запись в /etc/hosts, содержащая адрес и имя вашего брандмауэра, например:  

192.168.1.1 exco-rtr exco-rtr.example.com   

Затем, вам необходимо настроить флаги запуска syslogd, чтобы принимать сообщения syslog от брандмауэра. Отредактируйте /etc/rc.conf и добавьте следующую строку:  

syslogd_flags ="-a 192.168.1.1"  

И, наконец, вам необходимо добавить некоторые строки в /etc/syslog.conf которые будут описывать захват записей для нашего узла. В конец файла необходимо добавить:  

! *

+*

+exco-rtr

*.* /var/log/exco-rtr.log   

Эти строки сбрасывают программу и фильтры хостов, а затем установят фильтр хоста для вашего брандмауэра (используя его краткое наименование как описано    в /etc/hosts). Если вы знакомы с syslog, вы можете рассмотреть /etc/syslog.conf на маршрутизаторе pfSense.  После внесения изменений необходимо перезапустить syslogd. На FreeBSD это действие выполняется одной командой:  

# /etc/rc.d/syslogd restart  

 

Теперь вы можете наблюдать log-файл на syslog сервере и видеть, что он заполняется записями действий производимых брандмауэром.   

 

Статус системы

Основная страница системы pfSense -это страница Статус системы (Status >> System, показанная на  рисунке 22.2, "Статус Системы"). Она содержит некоторую информацию о базовой системе, например  имя маршрутизатора, версию pfSense, платформа (Раздел 1.6, "Платформы"), время работы, размер  таблицы состояния (Раздел 4.5.9.6, "Firewall Maximum States"), использование MBUF, использование CPU, использование памяти, использование своп пространства и использование диска. Счётчики на странице обновляются автоматически, каждые несколько секунд, поэтому нет необходимости в обновлении страницы.    

Рисунок 22.2 Статус системы   


Статус интерфейсов

Статус сетевых интерефйсов можно наблюдать на странице Status >> Interfaces. В первой части  Рисунка 22.3 "Состояние интерфейсов" показано PPPoE WAN соединение и можно наблюдать данные о его IP адресе, DNS и прочих параметрах. Так же вы можете увидеть MAC адрес сетевого  интерфейса, тип среды передачи, число входящих/исходящих пакетов, ошибки и коллизии. Для динамических типов соединений, таких как PPPoE и PPTP доступна кнопка [Disconnect] когда  соединение установлено и [Connect] - когда соединение разорвано. Для интерфейсов получающих IP адрес от DHCP сервера доступна кнопка [Release] когда аренда адреса активна, и [Renew] - в противном случае.  В нижней части рисунка Вы видите информацию по LAN соединению. Поскольку, это нормальный  интерфейс со статическим адресом, для него отображается стандартный набор элементов.  Если статус интерфейса указан как "no carrier" обычно, это означает что кабель интерфейса не  подключен, либо на другом конце кабеля устройство работает некорректно. Если показаны какие     либо ошибки, они обычно имеют чисто физическую природу - либо кабельное соединение либо ошибки порта. Наиболее часто это проблема кабелей, соответственно и решение проблемы простое и дешёвое.   

Статусы сервисов  

Состояние множества демонов различных систем и служб отражены на странице Status >> Services. Каждый сервис отображается с собственным именем, описанием и состоянием, как показано на рисунке 22.4 "Статусы сервисов". Состояние сервиса обычно представляется как Выполняется (Runnung) или Остановлена (Stopped). С этой страницы вы можете перезапустить или остановить сервис. Обычно нет необходимости прямого управления сервисами, но иногда, в целях диагностики  это может быть удобно.   

Рисунок 22.4 Статусы сервисов  

 

Графики RRD  

Графики RRD - это другой набор полезных данных предоставляемый pfSense. Во время работы маршрутизатора отслеживаются различные данные о производительности системы, которые  хранятся в файле циклической базы данных (Round-Robin Database - RRD). Графики этих данных доступны на странице Status >> RRD Graphs. На этой странице шесть вкладок, каждая из которых рассматривается в этом разделе: Система [System], Трафик[Traffic], Пакеты [Packets], Качество  [Quality], Очереди [Queues] и Установки [Settings]. Каждый график доступен в нескольких временных дапазонах, и каждый из них усреднён по  различному промежутку времени, в зависимости от того, какой период времени описывается графиком. Так же, на каждый график формируется легенда и суммарное представление данных (минимумы, среднее значение, максимумы, текущие значения и пр.). Графики доступны в 4-х часовом  диапазоне с усреднением в 1 минуту (для кратко использую сокращение 4часа/1мин и так далее - п.п.), 16часов/1мин, 2дня/5мин,1 месяц/1час, 6 месяцев/12 часов, и 1год/12 часов. Многие графики можно представить как в инверсном (Inverse), так и абсолютном (Absolute) стиле. В инверсном стиле  график разделяется посередине и входящий трафик отображается вверх от центра, а исходящий вниз от центра. При использовании абсолютного стиля графики отображаются в режиме наложения. На рисунке 22.5 "Трафик WAN" вы видите 16-ти часовой инверсный график трафика на WAN интерфейсе, с максимальной нагрузкой 1.74 Mbit/s с усреднением в 1 минуту.  

Графики на вкладке Система (System) отображают общее использование системных ресурсов, включая утилизацию ЦП, суммарную пропускную способность и состояние брандмауэра.  

График процессора

Данный график отображает утилизацию ЦП пользователем и системными процессами, прерывания и  число запущенных процессов.  


Рисунок 22.5 Трафик WAN  

График состояний

График состояний является более сложным. Он может отображать число системных состояний и сбоев несколькими путями. Здесь отображаются состояний фильтров для правил брандмауэра, состояния NAT для правил NAT, количество уникальных IP-адресов источников и назначений и число  изменения состояний за секунду.  

Графикитрафика

Графики трафика отображают использование пропускной способности на каждом доступном  интерфейсе в нотации [бит/секунду], также здесь можно выбрать Все графики (AllGraphs) - режим,  который позволит отобразить все графики трафика на одной странице.  

Графикипакетов

Данные графики работают аналогично графикам трафика, только вместо информирования о  использовании пропускной способности они информируют о числе пакетов обработанных в секунду (pps).  

Графики качества

Данные графики отслеживают качество WAN или WAN-подобного интерфейса (т.е. указанного со шлюзом или использующем DHCP). На этих графиках отображается время отклика от шлюза в  миллисекундах и процент потерянных пакетов. Любая потеря на графике информирует о проблеме или превышении использовании пропускной способности.  

Графикиочереди

Композитный объект для каждой очереди формирования трафика. Каждая отдельная очередь формирования трафика отображается уникальным цветом. Вы можете просмотреть график всех очередей или график выборки сбросов очередей.    

Настройки  

Графики RRD могут настраиваться в зависимости от ваших желаний. Вы можете вообще отключить их использование, если намерены использовать какое-то внешнее решение для построения графиков. Нажмите Save чтобы закончить внесение изменений.  

 

Обзор состояний через WebGUI

Можно просматривать состояния посредством WebGUI, перейдя на страницу Диагностика >> Состояния (Diagnostics >> States) (рисунок 22.6, "Примеры состояний"). Здесь вы можете видеть протокол для каждого соединения, источник соединение, маршрутизатора, назначение и состояние  соединения. Когда речь идёт о записях NAT, три записи в средней колонке представляют информацию  о системе которая осуществила соединение, IP адрес и порт pfSense который использовался для NAT  соединения, и удалённой системы с которой было сделано соединение. Отдельные соединения могут быть удалены щелчком в конце строки.  

Рисунок 22.6, "Примеры состояний"    

 

Просмотр с pftop

pftop доступен из консольного меню системы, и предлагает динамическое представление таблицы состояний с суммарной пропускной способностью для каждого состояния. Есть несколько путей  альтернативного представления вывода pftop. Нажмите 'h' для просмотра экрана помощи, который предоставляет информацию о возможных вариантах выбора. Наиболее часто используют варианты с 0 до 8, позволяющие выбрать бругие виды представления, 'пробел' для непосредственного  обновления вида и 'q' для выхода.  

Графикитрафика

Графики трафика реального времени отрисовываются с помощью SVG (масштабируемой векторной графики - Scalable Vector Graphics) в режиме постоянного обновления. Вы можете найти эти графики  на странице Status >> Traffic Graphs, а примеры графиков вы можете найти на рисунке 22.7. "Пример графика WAN". Они позволяют вам видеть реальный трафик и более чётко представлять текущие  данные графиков RRD. За раз можно видеть только один интерфейс, и вы можете выбрать требуемый интерфейс из  выпадающего списка Интерфейс (Interfaces). После выбора интерфейса страница автоматически обновляется и запускает отображение нового графика. Инструментальная панель в pfSense 2.0 (так же доступная в бета пакете 1.2) включает возможность отображения множества графиков на одной  странице.

 

<<< Предыдущая Глава | Следующая Глава >>>

†Оглавление†