../
--==[ PETITE PRESENTATION DE MONIT ]==--

configuration sommaire

Le démon MONIT assure une surveillance et un controle sur les services en cours d'execution.

- Il est donc capable de surveiller des fichiers, des processus, des ports, des machines, de l'espace disque et meme la somme de controle md5 d'un fichier !!!
- Il peut en outre relancer automatiquement ou sur intervention dans l'interface web, les services qui se sont arretés.
Son fichier de configuration est assez simple et trés bien commenté, sa mise en oeuvre n'est pas trop complexe, et pour couronner le tout, il est gratuit, que du bonheur donc.
- une interface web est aussi disponible, elle ne permet apparement pas de configurer le serveur, mais elle offre une vue synthetique de l'état des ressources surveillées, en cliquant, un détail de la ressource apparait et, selon celle ci, la possibilité de la demarrer/arreter/re-demarrer ou de ne plus "la monitorer"est offert.
- Les alertes sont remontées via mails et vers l'interface Web.
Pour les pressés ou les curieux, les captures d'écran de l'interface web sont en bas de la page.
#### le fichier surveillé dans la dernière capture est l'avi issue du rip illégale d'un dvd ne m'appartenant pas...oui monsieur :)
il a d'ailleur été rippé sous linux avec vobcopy et transcode, le film lui meme est un peu pourri mais bon...quant a la pertinance
d'une surveillance par moni d'un divx...on sait jamais, y a tellement de pirates sur le net ;-) ####


La partie technique


Console de monitoring de MONIT via http://serveur:2812


la package etait deja installé sur ma distribution, si ce n'est pas le cas, une connexion vers http://www.tildeslash.com/monit devrais résoudre le problème, pour un rpm, un rpm -ivh monit.*.rpm devrait suffire, et pour les sources, les traditionnels ./configure, make, make install.

- Le fichier de configuration, sous SuSE est situé ici --> /etc/monitrc
- le binaire monit est situé ici --> /usr/bin/monit
- Une possibilitée d'accès a l'interface Web via SSL existe, avec certificat coté serveur et client.(un README de la doc installée l'explique).
- Monit peut etre lancé et controlé par INIT, en renseignant de façon approprié le fichier /etc/inittab, c'est apparemment la directive "respawn"
qui est utile dans ce cas, car elle assure une relance automatique du démon.
- il supporte apparemment les "includes", qui permettent de ventiler la configuration sur plusieurs fichiers, utile en cas de grand nombre de règles.

D' aprés la doc les alertes peuvent etres associés aux évenements suivants:
  • un time out de servive
  • un arret de service
  • un port qui refuse une connexion
  • un changement de permission (fichier)
  • l'etat d'une ressource
  • la modification d'une somme de controle
  • le changement de la taille d'un fichier
  • le changement du "timestamp" (??? je sais pas ce que c'est :))
  • le lancement ou la relance d'un service
  • la modification de l'UID d'un fichier
  • la modification du GID d'un fichier
  • et si j'ai bien traduit, l'etat de surveillance d'une ressource par monit (a confirmer)

La modification d'une ressource surveillée se traduit (si le critère de surveillance correspond a la modification:)), a une des actions ci-dessous:
  • ALERT envoi de mail
  • RESTART redemarrage du service
  • STOP arret du service
  • EXEC execution d'une commande
  • UNMONITOR stop le monitoring
Voici un exemple de fichier de configuration:
il vient du mien, donc s'il y a des conneries...y en a certainement :) 

  

## période de surveillance là , 120 secondes. 
 set daemon  120           


## facilité syslog (choix de la "verbosité" du démon). 
 set logfile syslog facility log_daemon  


## contenu du champ "FROM" dans le mail qui sera envoyé a l'admin  
 set mail-format           
     { from: monit@foo.bar }  


## adresse du/des destinataire(s) a qui les alertes seront envoyées  
 set alert antonio@verseau.athena 


## choix du port d'écoute pour le serveur web (serveur qui permettra la consulation via un navigateur de la disponibilité des ressources).  
## et, adresse d'écoute du serveur (localhost par défault). 
 set httpd port 2812 and   
     use address 192.168.0.3 


## adresse IP autorisées a se connecter au serveur. 
     allow  192.168.0.2       
     allow  192.168.0.3       


## définition de la paire identifiant/mot de passe (admin/monit par défault) 
     allow darkside:offdarkness    ## c'est pas le vrai, vous inquietez pas, c'est pas mon genre les LorDZ4HACKeRs :)       
## au fait, le séparateur identifiant/mots de passe cest le ":"...OK ?? 



Passons a la construction des règles de surveillance:
dans la règle ci dessous, c'est le démon "nmbd" du package samba qui sera décortiqué.
 


## avec les mots clefs "check process", nous mettons en place la surveillance d'un processus. 
## ensuite, nous donnons un nom au process (cela pourrait etre n'importe quoi) . 
## avec la chaine "with pidfile" nous designons un fichier "pid" a vérifier. 
## couramment les fichiers "pid" sont dans "/var/run/", ils sont créer par les processus, lors de leurs démarrage 
  check process nmbd with pidfile /var/run/samba/nmbd.pid


## avec "start program =" ou "stop program=", nous indiquons le chemin de l'éxecutable, cela permettra la relance ou l'arret du processus  
## nous y ajoutons l'argument "start" ou "stop" selon l'action. 
    start program = "/etc/init.d/nmb start"
    stop program  = "/etc/init.d/nmb stop"


## instruction conditionnel: si le processus n'est pas en écoute sur le port UDP 138, alors, relance du processus 
    if failed port 138 type udp then restart


## là , si le processus n'est pas en écoute sur le port UDP 138, alors envoi d'une alerte (un mail quoi...). 
    if failed port 138 type udp then alert
    if 2 restarts within 3 cycles then timeout
    group server

## c'etait le démon "nmbd" qui etait surveillé au dessus, chez moi, de temps a autres, il s'arrète,  
## empechant le browsing rapide de mon reseau windows. 

La décortication  est terminé pour l'instant, a vous d'adapter vos règles a vos services.

check process smbd with pidfile /var/run/samba/smbd.pid
    start program = "/etc/init.d/smb start"
    stop program  = "/etc/init.d/smb stop"
    if failed port 445  then restart
    if failed port 445  then alert
    if 2 restarts within 3 cycles then timeout
    group server

check process apache with pidfile /var/run/httpd2.pid
    start program = "/etc/init.d/apache2 start"
    stop program  = "/etc/init.d/apache2 stop"
    if failed port 80 then restart
    if 2 restarts within 3 cycles then timeout
    if loadavg(5min) greater than 10 for 8 cycles then restart
    if failed port 80 protocol http then alert
    group server

check process sshd with pidfile /var/run/sshd.init.pid
    start program = "/etc/init.d/sshd start"
    stop program  = "/etc/init.d/sshd stop"
    if failed port 22  then restart
    if failed port 22  then alert
    if 2 restarts within 3 cycles then timeout
    group server

check process named with pidfile /var/lib/named/var/lib/named/var/run/named/named.pid
    start program = "/etc/init.d/named start"
    stop program  = "/etc/init.d/named stop"
    if failed port 53 type udp  then restart
    if failed port 53 type udp  then alert
    if 2 restarts within 3 cycles then timeout
    group server

check process snmpd with pidfile /var/run/snmpd.pid
    start program = "/etc/init.d/snmpd start"
    stop program  = "/etc/init.d/snmpd stop"
    if failed port 161 type udp  then restart
    if failed port 161 type udp  then alert
    if 2 restarts within 3 cycles then timeout
    group server

check process dhcpd with pidfile /var/lib/dhcp/var/run/dhcpd.pid
    start program = "/etc/init.d/dhcpd start"
    stop program  = "/etc/init.d/dhcpd stop"
    if failed port 67 type udp  then restart
    if failed port 67 type udp  then alert
    if 2 restarts within 3 cycles then timeout
    group server

check process squid with pidfile /var/run/squid.pid
    start program = "/etc/init.d/squid start"
    stop program  = "/etc/init.d/squid stop"
    if failed port 3128  then restart
    if failed port 3128  then alert
    if 2 restarts within 3 cycles then timeout
    group server

check process webmin with pidfile /var/webmin/miniserv.pid
    start program = "/etc/init.d/webmin start"
    stop program  = "/etc/init.d/webmin stop"
    if 2 restarts within 3 cycles then timeout
    if cpu is greater than 60% for 2 cycles then alert
    if cpu > 80% for 5 cycles then restart
    if memory > 200.0 MB for 2 cycles then restart
    if children > 250 then restart
    if loadavg(5min) greater than 5 for 5 cycles then stop
    group server
    
## Là , nous surveyons les droits appliqués au fichier "anazapta.avi" 
## avec la directive "with path", nous indiquons ou il se situe 
## avec "if failed permission 0444", nous surveyons que le fichier conserve toujour les droits 444 (lecture pour tous ou rrr). 
check file anazapta with path "/data/divx/suite/anazapta.avi"
if failed permission 0444 then alert 
    group server

## Ici, c'est le serveur verseau a l' ip 192.168.0.3 qui est monitoré 
## les ports SMTP,FTP,IMAP,POP,NESSUS sont checkés, en cas de non réponse du port, une alerte est remontée 
  check host verseau with address 192.168.0.3
    if failed icmp type echo with timeout 3 seconds then alert
    if failed port 25 protocol smtp then alert
    if failed port 21 protocol ftp then alert
    if failed port 110 then alert
    if failed port 143 then alert
    if failed port 1241 then alert
    group server



enfin, diverses captures d'écrans

fenetre d'authentification



vue synthetique de surveillance



surveillance du démon apache



surveillance reseau du serveur VERSEAU



surveillance d'un fichier