Truedoc

h1. Monitoraggio sistemi con Icinga & C.

h2. Installazione base

_Icinga_ (http://www.icinga.org) è un fork di Nagios sviluppato in maniera aperta, che presenta numerosi miglioramenti e soprattutto una interfaccia utente nettamente più elaborata. Le presenti istruzioni fanno riferimento all'installazione su una Debian Squeeze utilizzando le versione più recenti disponibili nel repository di @backports@ pertanto il primo passo da fare sarà quello di abilitare questi ultimi, aggiungendo a @/etc/apt/sources.list@ la riga:

<pre>

deb http://backports.debian.org/debian-backports squeeze-backports main

</pre>

il pacchetto è suddiviso in due parti, il _"core"_ che reimplementa le funzionalità di Nagios, e la nuova interfaccia web, pertanto installeremo entrambe con:

<pre>

apt-get install -t squeeze-backports icinga icinga-web

</pre>

Il sistema di @debconf@ chiederà se abilitare o meno l'uso di comandi esterni con _Icinga_, questo consente, attraverso l'accesso in scrittura della _pipe_ di controllo posta in @/var/lib/icinga/rw/@ di dare al web server la possibilità di utilizzare l'interfaccia dei comandi CGI, e servirà anche per l'accesso alla stessa da parte di altri programmi di ausilio, pertanto è opportuno attivarla rispetto alla scelta di default. 

L'interfaccia di @debconf@ chiede anche (qualora si usino diverse alternative) per quale web server generare la configurazione (si lasci il default di apache2), di configurare l'accesso e la creazione di vari database per i quali occorre, usando @dbconfig-common@, la password di root del database (si assume l'uso di MySQL su localhost) e le password per gli utenti di amministrazione, @icingaadmin@ per _Icinga_ e @root@ per l'interfaccia Web.  Viene altresì richiesta la configurazione del database di appoggio per lo storico dei dati (@icinga-idoutils@), per il quale di nuovo occorre la password di root del database.

Qualora la configurazione di @icinga-web@ fallisca in fase di configurazione come capitato a me, occorrerà impostare a mano la password dell'utente root nel relativo database, per questo si dovranno eseguire i seguenti comandi (estratti dallo script di post-installazione):

<pre>

salt=$(php5 -r 'echo hash("sha256", uniqid("root_", mt_rand()));')

export SALT="$salt"

export PW="passwordlungaecomplicata"

pwhash=$(php5 -r 'echo hash_hmac("sha256", getenv("PW"), getenv("SALT"));')

salt_e=${salt/\'/\\\'}

pwhash_e=${pwhash/\'/\\\'}

query="UPDATE nsm_user SET user_password='""$pwhash_e""', user_salt = '""$salt_e""', user_modified = NOW() WHERE user_name = 'root';"

echo $query | mysql -u icinga_web -p icinga_web

</pre>

fornendo dopo l'ultimo comando la password impostata per il database di @icinga-web@.

Una delle caratteristiche di @icinga@ è la possibilità di utilizzare un database per lo stoccaggio dei dati, le estensioni per l'utilizzo di questa modalità di gestione dei dati sono fornite dal pacchetto @icinga-idoutils@ (necessario nel caso si voglia utilizzare la nuova interfaccia di @icinga-web@, che lo richiede come dipendenza e fa configurare il relativo accesso al database). Per poterlo utilizzare deve essere esplicitamente abilitato l'avvio del demone @ido2db@ modificando la seguente riga in @/etc/default/icinga@:

<pre>

# start ido2db daemon (no/yes)

IDO2DB=yes

</pre>

inoltre deve essere attivato il modulo di gestione da parte di _Icinga_, questo deve essere fatto attraverso l'uso del file di configurazione distribuito con @icinga-idoutils@, pertanto occorrerà copiare:

<pre>

cp /usr/share/doc/icinga-idoutils/examples/idoutils.cfg-sample /etc/icinga/modules/idoutils.cfg

</pre>

una volta fatto questo si riavviino i relativi servizi con:

<pre>

service ido2db restart

service icinga restart

</pre>

e si potrà verificare il funzionamento anche della nuova interfaccia web (dando per scontato di aver creato un opportuno virtual host sotto SSL),  andando sull'indirizzo @https://icinga.miosito.it/icinga-web/@. 

Qualora i dati di monitoraggio siano presenti, ma risulti marcata come "_DOWN_" l'instanza di @icinga@ nel quadro riassuntivo, si verifichi che la _timezone_ di sistema in @/etc/timezone@, quella di PHP nella variabile @date.timezone@ in @/etc/php5/apache2/php.ini@ siano coerenti, nel caso si provveda anche al riavvio di MySQL per fargli vedere i valori corretti.

h2. Grafici delle risorse con _PNP4Nagios_

Uno degli aspetti più rilevanti di un sistema di monitoraggio è quello che consente di mantenere uno storico del consumo delle risorse che consente di tenerne sotto controllo l'evoluzione. A questo scopo è disponibile _PHP4Nagios_, che supporta anche una opportuna integrazione con @icinga@; per installarlo è sufficiente eseguire il comando:

<pre>

apt-get install -t squeeze-backports icinga-web-pnp

</pre>

che installa tutto il necessario nelle dipendenze, una volta fatto questo però vanno fatte alcune correzioni alle configurazioni del pacchetto che sono fatte per Nagios, in particolare occorre modificare @/etc/apache2/conf.d/pnp4nagios.conf@ correggendo le modalità di autenticazione con:

<pre>

AuthName "Iconga Access"

AuthUserFile /etc/icinga/htpasswd.users

</pre>

in modo che corrispondano a quanto presente anche in @/etc/apache2/conf.d/icinga.conf@, e ci si ricordi di eseguire un reload di apache. 

Occorre poi correggere @/etc/pnp4nagios/config.php@ di nuovo per fagli usare i valori opportuni relativi ad _Icinga_, in particolare si dovranno modificare le seguenti linee:

<pre>

...

$conf['nagios_base'] = "/icinga/cgi-bin";

...

$conf['livestatus_socket'] = "unix:/var/lib/icinga/rw/live";

...

$conf['template_dirs'][] = '/usr/share/check_mk/pnp-templates';

...

</pre>

Dove le ultime righe attengono all'uso di funzionalità fornite con _Check_MK_, su cui torneremo più avanti.

Per la generazione dei grafici occorre che _Icinga_ generi i relativi dati, _PHP4Nagios_ prevede diverse modalità per l'accesso agli stessi, la più efficiente è quella dell'uso di un apposito demone, @npcd@ che si appoggia ad un modulo di _Icinga_. In realtà il demone può essere anche usato da solo, facendo generare i dati ad _Icinga_ nelle opportune directory. 

Anzitutto occorre attivare il demone @npcd@ in @/etc/default/npcd@ inserendo la riga:

<pre>

# Should NPCD be started? ("yes" to enable)

RUN="yes"

</pre>

Il secondo passo è configurare _Icinga_, cosa che varia a seconda delle modalità scelte per generare i dati. Se si sceglie di usare quella consigliata attraverso il modulo @npcdmod.o@ occorrono due passaggi; il primo è quello di indicare ad _Icinga_ di generare i dati, inserendo in @/etc/icinga/icinga.cfg@ la riga:

<pre>

process_performance_data=1

</pre>

occorrerà poi abilitare il modulo inserendo in un file di configurazione (nel nostro caso @npcdmod.cfg@) nella directory @/etc/icinga/modules/@ con contenuto:

<pre>

define module{

        module_name    npcdmod

        path           /usr/lib/pnp4nagios/npcdmod.o 

        module_type    neb

        args           config_file=/etc/pnp4nagios/npcd.cfg

        }

</pre>

h2. Controllo con _Check_MK_

_Check_MK_ è programma che consente di gestire il monitoraggio centralizzato di diversi parametri da parte di _Icinga_ con una singola connessione ad un opportuno _agent_ da installare sulle singole macchine da porre sotto controllo. Il programma inoltre fornisce anche una serie di funzionalità di controllo ed autodiscovery dei servizi ed una interfaccia di controllo alternativa.  Per l'integrazione con _Icinga_ il primo passo è installare tutto il necessario sul server:

<pre>

apt-get install -t squeeze-backports check-mk-server check-mk-config-icinga 

</pre>

dove in particolare il secondo pacchetto installa tutti i file necessari ad integrare _Check_MK_ con _Icinga_.

La configurazione di base prevede che si inserisca la lista delle macchine da sottoporre a controllo nel file @/etc/check_mk/main.mk@, inizialmente ad esempio con qualcosa del tipo (la configurazione è l'assegnazione di una lista in python):

<pre>

# Put your host names here

# all_hosts = [ 'localhost' ]

all_hosts = [  'localhost', 'www.fountainpen.it', ... ]

</pre>

Si tenga presente che la semplice installazione _Check_MK_ di default non comporta nessun controllo, il programma infatti si collega agli _agent_ sulle macchine indicate nel precedente file di configurazione, e raccoglie gli eventuali dati disponibili, ma questi sono normalmente utilizzati soltanto all'interno del programma stesso, se si vogliono poter inserire i controlli dentro _Icinga_ occorre richiedere al programma la generazione degli opportuni file di configurazione. 

Le operazioni di controllo di _Check_MK_ vengono eseguite tramite il comando @check_mk@, questo consente di gestire le configurazioni di tutte le macchine controllate con _Check_MK_ creando un opportuno file di configurazione per _Icinga_ sotto @/etc/icinga/objects/check_mk/check_mk_objects.cfg@. Si può visualizzare l'elenco dei possibili controlli con  @check_mk -L@, mentre con @check_mk -I@, eventualmente seguito dall'indicazione di una macchina si può attivare la scoperta dei servizi disponibili per il controllo (il comando mostra solo quelli nuovi, se invece si usa @check_mk -II@ vengono cancellati quelli vecchi e ricreati solo quelli presenti).

In generale quello che server è lanciare @check_mk -R@ che esegue la generazione dei file di configurazione (nel caso @/etc/icinga/objects/check_mk/check_mk_objects.cfg@) e poi riavviare il servizio:

<pre>

check_mk -R

service icinga restart

</pre>

Per poter utilizzare le fuzionalità di _Check_MK_ è però necessario installare sulle macchine da mettere sotto controllo (compresa in genere quella su cui si è installato il server), lo script che esegue il compito di _agent_. Si tratta di un semplice script di shell che deve essere eseguito con @xinetd@, quest'ultimo però non viene installato automaticamente e deve essere esplicitamente installato:

<pre>

apt-get install -t squeeze-backports check-mk-agent xinetd

</pre>

inoltre dato che l'agent installa un file di configurazione per @xinetd@ in cui il servizio è disabilitato, è necessario modificare @/etc/xinetd.d/check_mk@ impostando: 

<pre>

disable        = no

</pre>

ed eventualmente aggiungere ulteriori direttive di controllo per bloccare gli accessi solo ai server autorizzati; ad esempio nel caso di installazione locale sul server stesso:

<pre>

only_from      = 127.0.0.1

</pre>

e si provveda a riavviare il servizio con:

<pre>

service xinetd restart

</pre>

Si tenga presente che se si installa l'agent sulla macchina stessa su cui gira _Icinga_ la configurazione di quest'ultimo già prevede un controllo eseguito su @localhost@ definito nel file @/etc/icinga/objects/localhost_icinga.cfg@, che andrà a confliggere con la configurazione creata da @check_mk -R@, pertanto si abbia cura di rimuovere detto file o usare un nome diverso per il localhost (ad esempio "127.0.0.1"). 

L'uso dell'interfaccia web di _Check_MK_ si basa sull'utilizzo di ''livestatus'', una modalità di presentazione dei dati che consente una lettura più veloce ed efficente, cui abbiamo già accennato in precedenta. Questa comporta l'installazione del pacchetto relativo con:

<pre>

apt-get install -t squeeze-backports check-mk-livestatus

</pre>

ed una ulteriore configurazione di _Icinga_; questa può essere fatta usando la nuova funzionalità dei moduli (evitando quindi la direttiva @broker_module@) inserendo in un file (nel nostro caso @livestatus.cfg@) nella directory @/etc/icinga/modules/@ con contenuto:

<pre>

define module{

        module_name    mklivestatus

        path           /usr/lib/check_mk/livestatus.o

        module_type    neb

        args           /var/lib/icinga/rw/live

        }

</pre>

dove @/var/lib/icinga/rw/live@ che è il default usato da _Check_MK_.