CentOS6 的guest os無法使用qm shutdown
因為預設沒有把acpid裝上
yum install acpid
daemon啟動後就ok了
2012/01/31
2012/01/30
2012/01/29
今天試了一下guardian 和 snort
想把log跟之前的honeypot和LP配合
這樣就可以用來 block ip了
在/etc/snort/snort.conf加上
output alert_full: /var/log/snort/alert
這樣alert才會同時進到mysql及記錄在 /var/log/snort/alert
再將guardian的alert指到/var/log/snort/alert
(依snort官方文件的方法還是無法同時寫到mysql及alert file)
---Guardian 安裝與組態---
Guardian 將監視SNORT 之Alert 訊息,並呼叫IPTABLES 以BLOCK 該IP惡意行為之套件,
目前官方最新版本1.7
>tar zxvf guardian-1.7.tar.gz
>cd guardian-1.7
> touch /etc/snort/guardian.ignore
> touch /etc/snort/guardina.target
> touch /var/log/snort/guardian.log
>cp guardian.pl /usr/local/bin/
>cp scripts/iptables_block.sh /usr/local/bin/guardian_block.sh
>cp scripts/iptables_unblock.sh /usr/local/bin/guardian_unblock.sh
>cp guardian.conf /etc/snort
組態guardian 組態檔案如下
vi /etc/snort/guardian.conf
Interface eth0
LogFile /var/log/snort/guardian.log
AlertFile /var/log/snort/alert
IgnoreFile /etc/snort/guardian.ignore
TimeLimit 86400 #約一週釋放該被封鎖IP
[啟動guardian程式]
/usr/bin/perl /usr/local/bin/guardian.pl -c /etc/snort/guardian.conf
#guardian 啟用成功如下,將先檢查,guardian.ignore(白名單) guardian.target IP
http://blog.yam.com/keynes0918/article/40353559
想把log跟之前的honeypot和LP配合
這樣就可以用來 block ip了
在/etc/snort/snort.conf加上
output alert_full: /var/log/snort/alert
這樣alert才會同時進到mysql及記錄在 /var/log/snort/alert
再將guardian的alert指到/var/log/snort/alert
(依snort官方文件的方法還是無法同時寫到mysql及alert file)
---Guardian 安裝與組態---
Guardian 將監視SNORT 之Alert 訊息,並呼叫IPTABLES 以BLOCK 該IP惡意行為之套件,
目前官方最新版本1.7
>tar zxvf guardian-1.7.tar.gz
>cd guardian-1.7
> touch /etc/snort/guardian.ignore
> touch /etc/snort/guardina.target
> touch /var/log/snort/guardian.log
>cp guardian.pl /usr/local/bin/
>cp scripts/iptables_block.sh /usr/local/bin/guardian_block.sh
>cp scripts/iptables_unblock.sh /usr/local/bin/guardian_unblock.sh
>cp guardian.conf /etc/snort
組態guardian 組態檔案如下
vi /etc/snort/guardian.conf
Interface eth0
LogFile /var/log/snort/guardian.log
AlertFile /var/log/snort/alert
IgnoreFile /etc/snort/guardian.ignore
TimeLimit 86400 #約一週釋放該被封鎖IP
[啟動guardian程式]
/usr/bin/perl /usr/local/bin/guardian.pl -c /etc/snort/guardian.conf
#guardian 啟用成功如下,將先檢查,guardian.ignore(白名單) guardian.target IP
http://blog.yam.com/keynes0918/article/40353559
2012/01/28
改善 BASE 的效能
理由: 瀏覽網頁時很慢
因為: 每次更新是把 snort 的資料抓取至 base 自已的 table 裡,隨著 event 資料量愈來愈大,需要固定時間更新 event cache
[1.] 安裝 lynx
[2.] 指令
/usr/bin/lynx -source http://localhost/base_maintenance.php?submit=Update+Alert+Cache
[3.] 排程
vi /etc/crontab
*/5 * * * * root /usr/bin/lynx -source http://localhost/base/base_maintenance.php?submit=Update+Alert+Cache > /dev/null
[4.] 用了排程的話,如此也就不用讓 BASE自動更新
vi base_config.php
$event_cache_auto_update = 0;
DNS and Whois cache
/usr/bin/lynx -source http://localhost/base/base_maintenance.php?submit=Update+IP+Cache
/usr/bin/lynx -source http://localhost/base/base_maintenance.php?submit=Update+Whois+Cache
ref: http://www.andrew.cmu.edu/user/rdanyliw/snort/acid_faq.html
更多内容 http://ssorc.tw/rewrite.php/read-270.html#ixzz1kjadFHfC
http://ssorc.tw/rewrite.php/read-270.html
理由: 瀏覽網頁時很慢
因為: 每次更新是把 snort 的資料抓取至 base 自已的 table 裡,隨著 event 資料量愈來愈大,需要固定時間更新 event cache
[1.] 安裝 lynx
[2.] 指令
/usr/bin/lynx -source http://localhost/base_maintenance.php?submit=Update+Alert+Cache
[3.] 排程
vi /etc/crontab
*/5 * * * * root /usr/bin/lynx -source http://localhost/base/base_maintenance.php?submit=Update+Alert+Cache > /dev/null
[4.] 用了排程的話,如此也就不用讓 BASE自動更新
vi base_config.php
$event_cache_auto_update = 0;
DNS and Whois cache
/usr/bin/lynx -source http://localhost/base/base_maintenance.php?submit=Update+IP+Cache
/usr/bin/lynx -source http://localhost/base/base_maintenance.php?submit=Update+Whois+Cache
ref: http://www.andrew.cmu.edu/user/rdanyliw/snort/acid_faq.html
更多内容 http://ssorc.tw/rewrite.php/read-270.html#ixzz1kjadFHfC
http://ssorc.tw/rewrite.php/read-270.html
2012/01/27
2012/01/21
cacti Graph Template Items (圖形模板項目類型)
Graph Item Type
comment ?
hrule ?
vrule ?
line1 細線
line2 較粗的線
line3 很粗的線
area 填充圖(非勾勒線條)
stack 疊加,此選項只能組合使用,不能單獨使用,且在組合使用時不能用於第一條。已探明能疊加line、area。
gprint 純數字,不是用來繪圖的,僅用於圖形下面的備註
legend 直譯:傳說。選了這個選項自動默認成了max?
Consolidation Function
last 當前值
max 最大值
min 最小值
average 平均值
CDEF Function
http://itthinker.vicp.net/?p=491
Cacti 關於DST(data source type ) 摘錄 (2010-10-27 23:55:46)轉載▼
標籤: 雜談 分類: 技術文檔
Cacti 關於DST(data source type ) 摘錄
這裡我們還需要了解一下cacti 中用數據圖形處理引擎rrdtool 中的data source type,在CACTI中的相關表現為如下:
Ø COUNTER :必須是遞增的,除非是計數器溢出(overflows)。在這種情況下,RRDtool 會自動修改收到的值。例如網絡接口流量、收到的packets 數量都屬於這一類型。
Ø DERIVE:和 COUNTER 類似。但可以是遞增,也可以遞減,或者一會增加一會兒減少。
Ø ABSOLUTE :ABSOLUTE 比較特殊,它每次都假定前一個interval的值是0,再計算平均值。
Ø GAUGE :GAGUE 和上面三種不同,它沒有“平均”的概念,RRDtool 收到值之後字節存入 RRA 中
2012/01/20
MRTG 設定檔 Target 區塊常用設定
詳細的設定參數請見官方網站:http://mrtg.hdl.com/doc/mrtg-reference.en.html
以下是 MRTG 設定檔的 Target 區塊常用的設定:
MaxBytes[label]: 數字
MIB 可以達到的最大值(不要懷疑,既使不是以 Byte 為單位的 MIB 也是用這個參數)。
被測量的兩個 MIB 會共用 MaxBytes,如果要分別設定,要用 MaxBytes1 和 MaxBytes2。
MaxBytes1[label]: 數字
第 1 個 MIB 可達到的最大值。
MaxBytes2[label]: 數字
第 2 個 MIB 可達到的最大值。
Directory[label]: 文字
將此 Target 的記錄檔、網頁及統計圖檔放置於指定的目錄中。
此目錄需位於 WorkDir 目錄下,並且設定時需已存在(MRTG 不會自動建立),同時必須讓 MRTG 可以寫入。
WithPeak[label]: dwmy
強制保留並繪出記錄中的最大值,避免 MRTG 自動將舊資料整理成平均值。
Options[label]: 選項
可使用一些選向來變更輸出時的內容,所有選項必須在同一行,以 , 分隔,並且要在 Target 之後。
growright : MRTG 預設是從右至左繪製曲線,這選項可以改成從左至右。
bits : 設定圖表使用的單位,MRTG 預設是以 Byte 顯示,這個選項可以改成以 bits 顯示。
gauge : SNMP 通常是以 COUNTER 形式保存資料,MRTG 會以目前得到的值減去上一次的值來取得改變量。針對部分不會改變的 MIB 值要用 gauge 選項,例如「CPU 負載」、「磁碟容量」等。這選項要視 MIB 的資料型別而定。
unknaszero : 連不上 Target 時使用 0(預設是用上一次的值)
nopercent : 不顯示使用百分比的資訊。
Suppress[label]: dwmy
不顯示指定時間單位的統計圖表。
kilo[label]: 1024
改變單位換算方式,預設值是 1000。
YLegend[label]: 文字
圖形 Y 軸的說明文字。
LegendI[label]: 文字
第 1 個 MIB 的曲線說明。
LegendO[label]: 文字
第 2 個 MIB 的曲線說明。
Legend1[label]: 文字
第 1 個 MIB 的曲線說明。
Legend2[label]: 文字
第 2 個 MIB 的曲線說明。
Legend3[label]: 文字
開啟記錄最大值(WithPeak)時,第 1 個 MIB 的曲線說明。
Legend4[label]: 文字
開啟記錄最大值(WithPeak)時,第 2 個 MIB 的曲線說明。
http://webcache.googleusercontent.com/search?q=cache:vPUzrWnrqdEJ:weblog.gilbert.tw/%3Fp%3D22+mrtg+target&cd=3&hl=zh-TW&ct=clnk&gl=tw
Some of examples how to monitor cpu and memory usage
CPU Usage
/etc/mrtg/cpu.cfg
WorkDir: /var/www/localhost/htdocs/mrtg
LoadMIBs: /usr/share/snmp/mibs/UCD-SNMP-MIB.txt
Target[localhost.cpu]:ssCpuRawUser.0&ssCpuRawUser.0:public@127.0.0.1+ ssCpuRawSystem.0&ssCpuRawSystem.0:public@127.0.0.1+
ssCpuRawNice.0&ssCpuRawNice.0:public@127.0.0.1
RouterUptime[localhost.cpu]: public@127.0.0.1
MaxBytes[localhost.cpu]: 100
Title[localhost.cpu]: CPU Load
PageTop[localhost.cpu]: <H1>Active CPU Load %</H1>
Unscaled[localhost.cpu]: ymwd
ShortLegend[localhost.cpu]: %
YLegend[localhost.cpu]: CPU Utilization
Legend1[localhost.cpu]: Active CPU in % (Load)
Legend2[localhost.cpu]:
Legend3[localhost.cpu]:
Legend4[localhost.cpu]:
LegendI[localhost.cpu]: Active
LegendO[localhost.cpu]:
Options[localhost.cpu]: growright,nopercent
Memory Usage
/etc/mrtg/mem.cfg
LoadMIBs: /usr/share/snmp/mibs/HOST-RESOURCES-MIB.txt
Target[localhost.mem]: .1.3.6.1.4.1.2021.4.6.0&.1.3.6.1.4.1.2021.4.6.0:public@localhost
PageTop[localhost.mem]: <H1>Free Memory</H1>
WorkDir: /var/www/localhost/htdocs/mrtg
Options[localhost.mem]: nopercent,growright,gauge,noinfo
Title[localhost.mem]: Free Memory
MaxBytes[localhost.mem]: 1000000
kMG[localhost.mem]: k,M,G,T,P,X
YLegend[localhost.mem]: bytes
ShortLegend[localhost.mem]: bytes
LegendI[localhost.mem]: Free Memory:
LegendO[localhost.mem]:
Legend1[localhost.mem]: Free memory, not including swap, in bytes
2012/01/19
有問昨天給的OID的問題 在cacti上一直無法成功 想到退回來用mrtg 初步測試是ok的
做一下記錄
安裝完mrtg後手動產生一個test.cfg的檔案如下 (取自vbird) 部分尚未修改完成
# Created by
# VBird 2001/10/29
### Global Config Options
WorkDir: /var/www/html
### CPU Loading detecting ...
Target[tsai.adsldns.org_person]: `/tmp/2`
MaxBytes[tsai.adsldns.org_person]: 5000000000
Options[tsai.adsldns.org_person]: bits,growright
YLegend[tsai.adsldns.org_person]: Online Users
ShortLegend[tsai.adsldns.org_person]: %
LegendI[tsai.adsldns.org_person]: 連線數目 :
LegendO[tsai.adsldns.org_person]: 上線人數 :
Title[tsai.adsldns.org_person]: WWW 上線人數統計表
PageTop[tsai.adsldns.org_person]: <H1> WWW 主機上線人數 </H1>
<TABLE>
<TR><TD>System:</TD> <TD>Aerosol Lab. in Redhat 6.1 Kernel 2.2.18</TD></TR>
<TR><TD>Maintainer:</TD> <TD>VBird</TD></TR>
</TABLE>
另外 2這個檔是去撈private的oid值 如下
#!/bin/bash
in=`/usr/bin/snmpwalk -v 2c -c public 10.0.0.1 1.3.6.1.4.1.8837.4.1.2.3.2. .4|cut -d '=' -f 2|cut -d ':' -f 2|tr -d ' '`
out=`/usr/bin/snmpwalk -v 2c -c public 10.0.0.1 1.3.6.1.4.1.8837.4.1.2.3.2 1.5|cut -d '=' -f 2|cut -d ':' -f 2|tr -d ' '`
uptime=`/usr/bin/snmpwalk -v 2c -c public 10.0.0.1|grep Up|cut -d ')' -f 2
echo $in
echo $out
echo 設備名稱
echo $uptime
mrtg一定要吃到四個值
接下來進行排程 就可以在 WordDir看到東西了
*/5 * * * * /usr/bin/mrtg /tmp/test.cfg
做一下記錄
安裝完mrtg後手動產生一個test.cfg的檔案如下 (取自vbird) 部分尚未修改完成
# Created by
# VBird 2001/10/29
### Global Config Options
WorkDir: /var/www/html
### CPU Loading detecting ...
Target[tsai.adsldns.org_person]: `/tmp/2`
MaxBytes[tsai.adsldns.org_person]: 5000000000
Options[tsai.adsldns.org_person]: bits,growright
YLegend[tsai.adsldns.org_person]: Online Users
ShortLegend[tsai.adsldns.org_person]: %
LegendI[tsai.adsldns.org_person]: 連線數目 :
LegendO[tsai.adsldns.org_person]: 上線人數 :
Title[tsai.adsldns.org_person]: WWW 上線人數統計表
PageTop[tsai.adsldns.org_person]: <H1> WWW 主機上線人數 </H1>
<TABLE>
<TR><TD>System:</TD> <TD>Aerosol Lab. in Redhat 6.1 Kernel 2.2.18</TD></TR>
<TR><TD>Maintainer:</TD> <TD>VBird</TD></TR>
</TABLE>
#!/bin/bash
in=`/usr/bin/snmpwalk -v 2c -c public 10.0.0.1 1.3.6.1.4.1.8837.4.1.2.3.2. .4|cut -d '=' -f 2|cut -d ':' -f 2|tr -d ' '`
out=`/usr/bin/snmpwalk -v 2c -c public 10.0.0.1 1.3.6.1.4.1.8837.4.1.2.3.2 1.5|cut -d '=' -f 2|cut -d ':' -f 2|tr -d ' '`
uptime=`/usr/bin/snmpwalk -v 2c -c public 10.0.0.1|grep Up|cut -d ')' -f 2
echo $in
echo $out
echo 設備名稱
echo $uptime
mrtg一定要吃到四個值
接下來進行排程 就可以在 WordDir看到東西了
*/5 * * * * /usr/bin/mrtg /tmp/test.cfg
2012/01/18
今天拿到一個private OID
以下說明如何在cacti加上
http://www.docin.com/p-148600403.html
http://blog.sina.com.cn/s/blog_4e424e2101000bb7.html
http://idefeng.blog.51cto.com/304862/284032
今天為了要處理簡訊的東西
花了一點時間
原來的log是 0912345678;message
要改成 0912345678,message
順便ftp傳到簡訊server
之後把檔案刪除
程式碼如下
#!/usr/bin/python
from ftplib import FTP
import sys,getpass,os.path,os
if os.path.exists("d:\sms.txt"):
f = open("d:\sms.txt")
lines=f.readlines()
f.close()
for line in lines:
new=line.replace(';',',')
print new
sms_ok_file = open("d:\sms_ok.txt",'a')
sms_ok_file.write(new)
sms_ok_file.close()
host = '127.0.0.1'
username ='anonymous'
password = 'a@'
localfile ='d:\sms_ok.txt'
remotepath ='/'
print "HELLO"
f = FTP(host)
f.login(username,password)
print "Welcome:",f.getwelcome()
f.cwd(remotepath)
fd = open(localfile,'rb')
f.storbinary('STOR %s' % os.path.basename(localfile),fd)
fd.close()
f.quit()
os.remove("d:\sms.txt")
os.remove("d:\sms_ok.txt")
2012/01/17
2012/01/16
2012/01/13
2012/01/11
2012/01/06
2012/01/02
drbd的source 端
cat /proc/drbd
0: cs:SyncSource ro:Primary/Secondary ds:UpToDate/Inconsistent B r----
drbd的target 端
cat /proc/drbd
0: cs:SyncTarget ro:Secondary/Primary ds:Inconsistent/UpToDate B r----
以上為正常狀況
target斷掉時source會出現
0: cs:WFConnection ro:Primary/Unknown ds:UpToDate/Inconsistent B r----
所以只要捉 cs:SyncSource 這個值來看就可以知道是否正常
cat /proc/drbd
0: cs:SyncSource ro:Primary/Secondary ds:UpToDate/Inconsistent B r----
drbd的target 端
cat /proc/drbd
0: cs:SyncTarget ro:Secondary/Primary ds:Inconsistent/UpToDate B r----
以上為正常狀況
target斷掉時source會出現
0: cs:WFConnection ro:Primary/Unknown ds:UpToDate/Inconsistent B r----
所以只要捉 cs:SyncSource 這個值來看就可以知道是否正常
訂閱:
文章 (Atom)