Monitoring Evolution


Seit unserem letzten Artikel „Quo vadis Nagios?“ über das Monitoring-System Nagios und die unterscheidlichen Alternativen, wie Icinga oder Shinken, sind schon wieder zwei Jahre vergangen. In dieser Zeit hat sich an den Entwicklungen um Nagios selbst nicht viel getan, sehr wohl aber bei vielen anderen Opensource Projekten, die mit Nagios kompatible Monitoring-Lösungen darstellen. Nachdem unsere eigene Nagios-Installation und die einiger Kunden mittlerweile in die Jahre gekommen ist und es einige Punkte gibt, bei denen wir mit unserem aktuellen Monitoring-System nicht mehr ganz zufrieden sind, haben wir uns nun Zeit genommen, um die zwei großen Opensource Projekte Shinken und Icinga noch einmal genauer unter die Lupe zu nehmen. Dazu haben wir beide Systeme parallel installiert und getestet. Unsere Erkenntnisse und Erfahrungen mit den beiden Systemen werden wir im folgenden Abschnitt näher erläutern.

 

Shinken & Skonf

Die grundsätzlichen Informationen über Shinken findet man bereits in unserem Artikel „Quo vadis Nagios?“, weshalb ich an dieser Stelle nicht weiter darauf eingehen werde.
Im Vergleich zum Nagios bringt Shinken ein eigenes, webbasiertes Konfigurationstool mit, das dem Benutzer die Konfiguartion seiner Shinken-Installation erleichtern soll. Ein interessantes Feature stellt dabei die selbstständige Service-Erkennung, beim Hinzufügen von neuen Hosts, dar. Die Oberfläche an sich wirkt recht schlicht und modern. Leider konnten wir Skonf für unsere Tests nicht verwenden, da es nach der Installation nic
ht von selbst funktionierte und wir es auch nach mehrmaligem Versuchen nicht geschafft haben, es richtig zu konfigurieren. Jegliche Änderungen im Skonf waren auch nach einem Neustart von Shinken nicht in der Konfiguration

zu sehen. Eine Dokumentation ist zwar im offiziellen Wiki vorhanden, dort sind aber nicht alle Features, Konfigurationsmöglichkeiten und Probleme aufzufinden und die Community ist aktuell zudem noch recht klein. Insgesamt fanden wir den Ansatz aber durchaus interessant und hoffen, dass wir das Skonf-Interface in Zukunft auch mal funktionierend ausprobieren können.

shinken-ui

Detail-Ansicht eines Hosts in der Shinken UI


Icinga

Icinga ist einer der wohl bekanntesten Nagios-Forks und zeichnet sich vor allem durch seine aktive Entwicklung und Kompatibilität zur Nagios-Konfiguration aus. Genau so, wie auch bei Shinken, kann man prinzipiell einfach seine bestehende Nagios-Konfiguration importieren und weiter verwenden. Außerdem hat das Icinga Team im Laufe der Jahre viele der nervigen Nagios-Bugs behoben und damit das Gesamtsystem etwas stabiler gemacht. Ein großer Vorteil im Vergleich zu Shinken sind die vorhandenen Dabian-Pakete für die einfache Installation und Wartung von Icinga und seinem Zubehör.

Icinga-Legacy

Detail-Ansicht eines Hosts in der Icinga Classic-UI


Icinga-Web

Abgesehen von der altbekannten Nagios-Weboberfläche bringt Icinga auch noch eine neue, auf Ajax basierende und schicke Weboberfläche mit. Sie benötigt die Verwendung eine IDO-Datenbank, welche als Schnittstelle zwischen dem Webinterface und der eigentlichen Icinga-Installation dient. Diese neue Oberfläche sorgt für eine übersichtliche und strukturierte Darstellung der aktuellen Zustände und bietet außerdem die Möglichkeit, bestimmte Befehle an den Icinga-Daemon zu senden, um beispielsweise die aktiven Checks oder die Benachrichtungen zu aktivieren. Falls man zusätzlich zum Monitoring auch noch ein Reporting-System, wie beispielsweise Jasper, einsetzt, kann man dieses sehr einfach in Icinga und Icinga-Web integrieren.

Icinga-Web

Service-Status Ansicht von Icinga-Web


Shinken vs. Icinga

Durch viele Versuche, die wir mit beiden Systemem durchgeführt haben und Dinge, die wir mit den beiden Systemen getestet haben, haben wir viele neue Erfahrungen gesammelt.

Der Einrichtugngsaufwand ist bei Shinken zwar etwas höher, als bei Icinga, aber insgesamt machen beide Monitoring-Systeme nach der Installation auf den ersten Blick einen guten Eindruck. Die Integration von PNP4Nagios, NagiosQL, etc. ist bei beiden prinzipiell möglich, allerdings gibt es dabei beim Einrichtungsaufwand einige Unterschiede. Shinken hat aktuell eine kleine Community und die Dokumentation ist sehr knapp. Das erschwert vor allem Neulingen, tiefer in die Konfiguration und das Funktionsprinzip der Software einzusteigen und man ist daher bei Problemen mehr auf sich selbst angewiesen. Die Erst-Einrichtung gestaltet sich daher bei Shinken wesentlich aufwändiger und schwieriger, als bei Icinga. Im laufenden Betrieb funktionierte Shinken zwar ohne größere Probleme, aber der Konkurrent Icinga lief merklich stabiler und arbeitete besser mit den zusätzlich installierten Plugins/Add-Ons zusammen. Näheres zu den zwei wichtigsten Plugins gibt es in den folgenden Absätzen.


PNP4Nagios

Auch das Plugin zur Erfassung und Darstellung von Performance-Daten, der Nagiosgrapher ist mittlerweile in die Jahre gekommen und wird nicht mehr aktiv weiterentwickelt. Daher haben wir uns auch hier eine Alternative gesucht und uns für das Tool PNP4Nagios entschieden, welches eine eigene Weboberfläche bietet und zudem gut mit Icinga oder Shinken zusammenarbeitet. Wie auch bei Nagiosgrapher werden die Monitoring-Daten in einer RRD-Datei gespeichert und anschließend graphisch aufbereitet und angezeit. Ob es sich bei den Daten um die CPU-Auslastung oder die Werte eines Temperatursensors handelt, ist dabei vollkommen unerheblich. Die Graphen können im Anschluss komfortabel für bestimmte Zeiträume generiert und auch als PDF exportiert werden.

PNP4Nagios

Ansicht des Ping-Graphs in der PNP4Nagios Weboberfläche


NagiosQL und Nconf

NagiosQL ist ein graphisches Konfigurationstool, mit dem man über ein Webinterface die Nagios-/Icinga-/Shinken-Konfiguration erstellen und anpassen kann. Dadurch spart man sich die Arbeit mit den vielen verschiedenen Konfiguratiosndateien und kann dadurch schnell und gezielt Änderungen vornehmen. Im Handumdrehen lassen sich so neue Servicechecks, Hosts, Escalations oder auch Benachrichtungen hinzufügen und bestehende bearbeiten.

NagiosQL ist in PHP geschrieben und läuft auf jedem Apache-Webserver. Es benötigt lediglich eine zusätzliche MySQL Datenbank, um die Konfiguration zu speichern. Nach der erfolgreichen Änderung der Einstellungen werden dann jeweils die Nagios-kompatiblen Konfigurationsdateien generiert und das Monitoringsystem neugestartet, sodass die neue Konfiguration wirksam wird.

NagiosQL

Service-Übersicht von NagiosQL

Die Installation und Konfiguartion von NagiosQL selbst ist etwas komplizierter, aber wenn es dann einmal fertig eingerichtet ist, funktioniert es wurnderbar. In unserem Test war die Integration ind Shinken etwas umständlicher und es war ein bisschen Handarbeit nötig, um das ganze dann vollständig zum Laufen zu bekommen. NagiosQL ist aber ohne weiteres mit Icinga kompatibel und die Installation klappt ohne größere Probleme.
Außerdem haben wir auch das Tool Nconf einmal etwas genauer betrachtet und gestestet. Dabei mussten wir allerdings recht schnell feststellen, dass Nconf keinen mit NagiosQL vergleichbaren Funktionsumfang bietet und wir es noch mit eigenen Lösungen ergänzen müssten.
Für uns stellt daher NagiosQL, trotz seiner etwas altbacken wirkenden Oberfläche, einen vernünftigen Ersatz für die schon deutlich in die Jahre gekommene, bisherige Lösung dar. Das Projekt ist Opensource und wird aktiv entwickelt, weshalb wir das Tool natürlich besonders gerne verwenden.


Fazit

Shinken machte für uns insgesamt einen eher unfertigen und durchwachsenen Eindruck, weshalb wir der noch relativ jungen Software vor dem produktiven Einsatz noch etwas Zeit zur Entwicklung lassen. Einen sehr positiven Eindruck macht dagegen die Nagios-Alternative Icinga. Das Zusammenspiel mit NagiosQL und PNP4Nagios, deren Integration ins Gesamtsystem und der normale Betrieb funktionierten ohne Probleme. Abgesehen von kleineren Konfigurationsunterschieden im Vergleich zum alten Nagios, läuft Icinga sehr stabil und macht alles in allem einen soliden Gesamteindruck.

Aus diesem Grund haben wir Icinga, zusammen mit einigen weiteren Komponenten, als Hauptbestandteil für unseren „Monitoring-Server 2013“ gewählt. Damit bieten wir unseren Kunden ein modulares und skalierbares System, das sich vor allem durch Stabilität, Aktualität und eine komfortable Bedienung auszeichnet.

IT bleibt spannend!

Euer Andreas Erhard

Onlinespeicher TrinityBox erhält neue Webseite


Heute haben wird das von uns selbst produzierte Einführungsvideo zur TrinityBox fertiggestellt und mit der neuen Produkt-Webseite www.TrinityBox.de veröffentlicht:

Damit steht jetzt ein passender Webauftritt als umfassende Informationsquelle im Internet zur Verfügung, auf der alles zu lesen ist, was es über die TrinityBox zu wissen gibt.

TrinityBox Webseite

Wir bedanken uns für die umfangreiche Unterstützung und werden auch weiterhin Tipps und Hinweise zu Produkt und Webseite dankbar annehmen!

IT bleibt spannend!

Grüße

Hannes Wilhelm

fail2ban gegen schwache Passwörter


Beim Betrieb von Serverdiensten im Rechenzentrum werden zwangsläufig auch diverse Ports für das Internet freigeschalten, um Benutzern und Admins Zugang zu ermöglichen. Trotz sorgfältig eingesetzter Firewalltechnik können dabei schwache Passwörter von einem Angreifer aus dem Internet ggf. leicht erraten werden (Brute Force Attacke).
Wir schließen diese Lücke mit dem Programm fail2ban.
Es funktioniert nach dem Prinzip: erfolglose Loginversuche erkennen und nach einer festgelegten Anzahl die IP-Adresse sperren. Fail2ban ist für Posix-Betriebssysteme erhältlich, so ist z.B. bei SuSE- und Ubuntu-Linux ein vorkonfiguriertes Paket in der Distribution enthalten. Es lassen sich mehrere Dienste (auch gleichzeitig) damit überwachen, u.a. Apache, Lighttpd, sshd, vsftpd, qmail, Postfix und Courier Mail Server. Dabei werden die Logausgaben vom fail2ban-Daemon laufend überwacht und im Falle einer Attacke der oder die Angreifer per IP-Tables Regel verbannt.
Fail2ban ist auf allen gehosteten Servern unserer Kunden, die mit einem Wartungsvertrag ausgestattet sind, sowie unseren Eigenen im Einsatz. Dank der einfachen Handhabung entsteht dabei kaum administrativer Aufwand.

IT bleibt spannend!

Viele Grüße
Hannes Wilhelm

 

Quellen:

http://www.fail2ban.org/wiki/index.php/Main_Page
http://de.wikipedia.org/wiki/Fail2ban

Schlafen Sie gut – Ihre IT ist sicher!


Hallo,

...schlaffördernde und beruhigende Wirkung...anbei sehen Sie Baldrian. Brauchen Sie Baldrian, um Nachts gut zu schlafen, weil Sie davor Angst haben, was passiert, wenn morgen Ihr wichtigster Server ausfällt? Oder weil Sie nicht wissen, ob die Datensicherung wirklich sicher ist: Der Kollege, der sich darum kümmert, hat zwar gesagt, es sei alles in Ordnung, aber kann man sich wirklich darauf verlassen? Kann eine Datei z.B. auch dann noch restauriert werden, wenn ihr Verschwinden erst nach Wochen bemerkt wird? Sein Fachgebiet ist ja eigentlich ein anderes…

Vertrauen Sie Ihre IT und Ihre Daten lieber Experten an, deren Fachgebiet wirklich die Stabilität von Servern und die Sicherheit von Daten ist.

Wir stellen laufend den Betrieb Ihrer wichtigen Server und die Verfügbarkeit Ihrer Daten sicher – und zwar individuell nach Ihren Bedürfnissen und detaillierter Planung. Dabei kommen – je nach Anforderung – moderne Techniken aus unserem Rechenzentrum, wie Remote-Backup und automatische Überwachung aller wichtigen Dienste zum Einsatz. Aber auch „Altbewährtes“, wie regelmäßige persönliche Vor-Ort-Besuche bei Ihnen, um zu besprechen, welche aktuellen Wünsche vorliegen.

Wenn auch bei Ihnen Daten und Server unternehmenswichtig sind, dann kommen Sie zu uns und Sie schlafen auch ohne Baldrian bestens 🙂 – Damit Sie sich voll auf die Dinge konzentrieren können, für die Sie Experte sind.

Vernetzte Grüße,

Dirk Steinkopf

WorNet AG
Vorstand, CEO

Datenspeicher der besonderen Art


Hallo,

Platz um seine Daten zu lagern kann man eigentlich nie genug haben. Kein Wunder, dass im Privatbereich die kleinen USB- und Netzwerkfestplatten einen wahren Siegeszug antreten.

Und im Büro? Wenn das Netzlaufwerk voll ist und der Admin drängt aufzuräumen? Was liegt da näher als eine Netzwerkfestplatte in die Abteilung zu stellen? Gleich unter den Schreibtisch, ist ja so einfach und praktisch. Und so billig! Meist sind diese Geräte so günstig, dass sie weder als Investition erfasst oder vom Chef genehmigt werden müssen.

Und so schlummern sie, und werden genutzt. Anfangs natürlich nur für temporäre Daten, die nicht gesichert werden müssen. Versteht sich von selbst! Und natürlich für die Dokumente an denen man gerade arbeitet, aber die werden selbstverständlich jeden Abend auf den Server kopiert. Eh klar!

Der Chef oder der IT-Verantwortliche wird sich dessen meist erst klar wenn das unvermeidliche passiert: Wichtige Daten sind weg!

Gehen sie doch mal durch ihr Unternehmen und schauen sie was – gerade bei den technisch versierten Mitarbeitern – unter dem Tisch an Elektronik steht. Und statt eines Verbots bieten Sie dem Mitarbeiter an: „Unsere IT hat da einen Server für genau diese Zwecke! Da bekommen Sie ein Laufwerk exklusiv für Ihre Abteilung. Und wir können ein Auge darauf haben, dass nichts verloren geht.“

Was glauben Sie was der Mitarbeiter sagt?

Wie das preiswert geht? Mit Linux! Aber das dachten Sie sich sicher schon 😉

Helfen Sie den verwaisten Pinguinen


Kürzlich sprach ich mit einem neuen Kunden über seine Server. Er hat ein paar Windows Server die er professionell betreuen lässt und einen Linux-Server auf dem eine MySQL-Datenbank läuft.Das Linux-Maskottchen wurde von Larry Ewing, Simon Budig und Anja Gerwinski  mit der freien Software GIMP erstellt.

CHE: Ist der Linux-Server mit der MySQL-Datenbank für Ihr Unternehmen wichtig?

Kunde: Das ist schwer untertrieben. Ohne die Datenbank wissen wir nicht was wir produzieren müsen.

CHE: Und wer kümmert sich um die Maschine?

Kunde: Kümmern tut sich keiner. Wenn es brennt rufen wir den Programmierer, der unsere Anwendung betreut. Cry

Solche „verwaisten Pinguine“ treffe ich immer öfter in Unternehmen an. Doch die IT-Dienstleister, die das Windows-Netz betreuen haben meist keine Erfahrung mit Linux und klammern diese Maschinen in ihren Wartungsverträgen gerne aus.

Linux-Server entstehen oft als Bastel-Projekt eines einzelnen engagierten Mitarbeiters. Eine ausrangierte Hardware und etwas freie Software, schon hat man ein Linux-System im Einsatz, oftmals ohne dass der Geschäftsführer davon weiß. Es mussten ja keine Lizenzen gekauft, keine Hardware angeschafft werden. Und sind sie erst einmal da, will man sie aufgrund ihrer Vielseitigkeit, Robustheit und der vielen freien Software nicht mehr missen.

Haben auch Sie Linux-Systeme im Einsatz?

Dann haben Sie ein Herz und lassen Sie den Pinguin  im Serverschrank nicht alleine. —- Wir lieben Pinguine!

Vernetzte Grüße,

Christian Eich

WorNet AG
Vorstand

Datenpanne? Wo bin ich sicher?


Hallo liebe eMail-Nutzer,

die Nachrichten von Datenpannen häufen sich in letzter Zeit (Datenpanne beim Finanzdienstleister AWD, Telekom-Datenpanne, davor auch andere große Anbieter, z.B. Hotmail, Yahoo, AOL und Google). Wollen Sie Ihre Daten und eMail noch einem großen Anbieter anvertrauen, wenn damit zu rechnen ist, dass die nächste Panne bald passiert?

Kommen Sie zu uns! Ursache der Pannen bei den Großen sind meist keine technischen Probleme oder Sicherheitslöcher, die auch eine kleine Firma mit dem richtigen Know-How im Griff hat. Es geht um die Menschen: Wir haben ein Rechenzentrum mit eigener Infrastruktur. Bei uns haben nur 5 Personen Zugriff auf die Systeme. Wenn Sie möchten können sie jedem von uns in die Augen schauen und feststellen: „Denen von WorNet kann ich vertrauen.“ Wir sind in der Nähe und kommen auch gerne zu Ihnen.

Wenn Sie sich keine Sorgen machen möchten, um Ihre eMail und alles, was Sie an IT in unsere Hände legen, rufen Sie mich an. Wir finden individuelle, vertrauliche Lösungen in der vernetzten Welt.

Vernetzte Grüße,

Dirk Steinkopf
Vorstand WorNet AG, CEO