기록's

개요

온 프리 서버에 관해서는 munin그래프의 "Connections-through-firewall"표준에서 ON으로 되어 있지만

클라우드 서버에 관해서는 수동에서 유효하게 할 필요가 있어서 순서를 기재한다.

또한 서버 재기동 후도, firewalld의 설정이 유효하고 인터페이스는 전 허가의 설정과 된다.

순서

1. 해당 서버에 로그온하고, root유저로 스위칭한다.
2. firewalld가 설치되지 않을 경우 설치를 실시한다.

# yum install firewalld
# systemctl status firewalld
# systemctl start firewalld

※firewall을 설치하면 SSH만이 허용이 되므로 주의

3. 인터페이스의 모든 허가를 한다.

firewall-cmd --change-interface=eth0 --zone=trusted
firewall-cmd --change-interface=eth0 --zone=trusted --permanent
firewall-cmd --reload

4. firewalld의 실행 설정을 확인한다.

systemctl list-unit-files | grep fire

5. Connections-through-firewall이 무효가 되어 있음을 확인한다.
이하의 출력 결과인 것.

# munin-node-configure | grep '^fw_'
fw_conntrack               |  no  |
fw_forwarded_local         |  no  |
fw_packets                 | yes  |

6. 설정을 유효하게 한다.

# munin-node-configure --shell | sh
# systemctl restart munin-node
  
# munin-node-configure | grep '^fw_'
fw_conntrack               | yes  |
fw_forwarded_local         | yes  |
fw_packets                 | yes  |

7. munin-plugin의 수정
94번행을 다음과 같이 수정한다.

vi /etc/munin/plugins/if_eth0
  
     89     # sysfs can report the speed if the driver supports it (but it
     90     # doesn't work as well for wireless cards, thus why we check for
     91     # iwlist first)
     92     if [[ -r /sys/class/net/$INTERFACE/speed ]]; then
     93             SPEED=$(cat /sys/class/net/$INTERFACE/speed 2>/dev/null)
     94             if [[ "$SPEED" -gt 0 ]]; then
     95                 echo $SPEED
     96                 return
     97             fi
     98     fi

8. 동작 확인 오류가 없음을 확인한다.

# munin-run fw_conntrack
established.value 1
fin_wait.value 0
time_wait.value 1
syn_sent.value 0
udp.value 3
assured.value 4
nated.value 0
total.value 5
 
tail -f /var/log/munin-node/munin-node.log

munin그래프에 표시되어 있는 것도 확인할 것.

호스트 그룹화

[Infra;]
[Infra;misc-0]
    address misc-0.naver.com
    use_node_name yes
[Infra;monitoring-0]
    address 127.0.0.1
    use_node_name yes

형식으로 기술한다.

표시 순서의 설정

감시 노드의 표시 순서를 임의로 설정하는 경우는

[Infra;]
node_order monitoring-0 misc-0

처럼 기술하면 기술한 순서대로 표시된다.
또한 일부 호스트만 서술한 경우는 기술한 것만 우선적으로 표시되고 나머지는 이름 순서로 표시된다.

갱신 설정

update no

 데이터 갱신을 하지 않게 된다.

systemctl 로 해당 서비스를 시작 할 때 기본적으로 PrivateTmp가 yes로 설정 되어 있다.

cat /usr/lib/systemd/system/munin-node.service
[Unit]
Description=Munin Node
Documentation=man:munin-node(1) http://guide.munin-monitoring.org/en/latest/node/index.html
After=network.target network-online.target
PartOf=munin-asyncd.service
 
[Service]
Type=notify
ExecStart=/usr/sbin/munin-node --foreground
PrivateDevices=no
PrivateTmp=yes
ProtectHome=read-only
ProtectSystem=full
TimeoutStopSec=30s
 
[Install]
WantedBy=multi-user.target

그렇게 되면 munin tmp의 경로는 기본적으로 private tmp경로를 참조한다. (/tmp 아님)

# munin의 private tmp 경로
 
/var/tmp/systemd-private-5e2dee87e6974caaba6252c0743ea1d1-munin-node.service-czrVqe/tmp

따라서 /tmp/ 안에 있는 Application log를 모니터링 하기 위해선 private tmp 를 비활성화 해야함

 cat /usr/lib/systemd/system/munin-node.service
[Unit]
Description=Munin Node
Documentation=man:munin-node(1) http://guide.munin-monitoring.org/en/latest/node/index.html
After=network.target network-online.target
PartOf=munin-asyncd.service
 
[Service]
Type=notify
ExecStart=/usr/sbin/munin-node --foreground
PrivateDevices=no
PrivateTmp=false           ## 비활성화
ProtectHome=read-only
ProtectSystem=full
TimeoutStopSec=30s
 
[Install]
WantedBy=multi-user.target
 
# systemd 파일 변경으로 daemon reload 진행
systemctl daemon-reload
 
# munin 서비스 재시작
systemctl restart munin-node.service