Monitorización de servidores con Munin y Monit en Debian 10

En este artículo, describo cómo puedes monitorizar tu servidor Debian 10 (Buster) con Munin y Monit. Munin genera pequeños gráficos ingeniosos sobre casi todos los aspectos de tu servidor (promedio de carga, uso de memoria, uso de CPU, rendimiento de MySQL, tráfico de red, etc.) sin mucha configuración, mientras que Monit comprueba la disponibilidad de servicios como Apache, MySQL, Postfix y toma las medidas adecuadas, como reiniciar, si descubre que un servicio no se comporta como se espera. La combinación de ambos te proporciona una monitorización completa: gráficos que te permiten ver problemas actuales o inminentes (por ejemplo, «Necesitamos un servidor más grande pronto, nuestra media de carga está aumentando rápidamente»), y un perro guardián que garantiza la disponibilidad de los servicios monitorizados.

Aunque puedes supervisar más de un servidor con Munin, aquí sólo hablaremos de la supervisión del sistema en el que está instalado.

Esta guía se ha escrito para Debian 10 (Buster), pero la configuración debería aplicarse también a otras distribuciones como Ubuntu con pequeños cambios.

1 Nota preliminar

Todos los comandos de este tutorial se ejecutan como usuario root. Accede a tu servidor como root por SSH o abre una ventana de terminal. Si inicias sesión como un usuario distinto de root, utiliza el comando

su -

para convertirte en el usuario root, antes de continuar.

El nombre de host de nuestro sistema es servidor1.ejemplo.com, y en él tenemos un sitio web www.example.com con el documento raíz /var/www/www.example.com/web.

Asegúrate de que el sistema está actualizado antes de empezar a instalar Munin, ejecuta:

apt update
apt upgrade

Apache se utiliza para mostrar las páginas de Munin, el módulo apache fcgid es necesario para la función de zoom del gráfico de Munin. Instala apache y el módulo fcgid con apt.

apt install apache2 libcgi-fast-perl libapache2-mod-fcgid

Habilita el módulo fcgid en apache.

a2enmod fcgid

2 Instalar y configurar Munin

Para instalar Munin en Debian, hacemos lo siguiente:

apt install munin munin-node munin-plugins-extra

Cuando el servidor esté ejecutando MySQL o MariaDB, entonces habilita los algunos plugins extra de Munin para monitorizar MySQL:

cd /etc/munin/plugins
ln -s /usr/share/munin/plugins/mysql_ mysql_
ln -s /usr/share/munin/plugins/mysql_bytes mysql_bytes
ln -s /usr/share/munin/plugins/mysql_innodb mysql_innodb
ln -s /usr/share/munin/plugins/mysql_isam_space_ mysql_isam_space_
ln -s /usr/share/munin/plugins/mysql_queries mysql_queries
ln -s /usr/share/munin/plugins/mysql_slowqueries mysql_slowqueries
ln -s /usr/share/munin/plugins/mysql_threads mysql_threads

A continuación, debemos editar el archivo de configuración de Munin /etc/munin/munin.conf. Descomenta las líneas dbdir, htmldir, logdir, rundir y tmpldir (los valores por defecto están bien). Queremos que Munin utilice el nombre servidor1.ejemplo.com en lugar de localhost .localdomain en la salida HTML, por lo que sustituimos localhost.localdomain por servidor1.ejemplo. com en la sección del árbol de hosts simple. Sin los comentarios, el archivo modificado tiene este aspecto:

nano /etc/munin/munin.conf
# Example configuration file for Munin, generated by 'make build'
# The next three variables specifies where the location of the RRD
# databases, the HTML output, logs and the lock/pid files. They all
# must be writable by the user running munin-cron. They are all
# defaulted to the values you see here.
#
dbdir /var/lib/munin
htmldir /var/cache/munin/www
logdir /var/log/munin
rundir /var/run/munin

# Where to look for the HTML templates
#
tmpldir /etc/munin/templates

# Where to look for the static www files
#
#staticdir /etc/munin/static

# temporary cgi files are here. note that it has to be writable by
# the cgi user (usually nobody or httpd).
#
# cgitmpdir /var/lib/munin/cgi-tmp # (Exactly one) directory to include all files from. includedir /etc/munin/munin-conf.d [...] # a simple host tree
[server1.example.com]
address 127.0.0.1
use_node_name yes [...]

Debemos encontrar el archivo de configuración de Apache 2.4 para Munin /etc/munin/apache24.conf – define un alias llamado munin para el directorio de salida HTML de Munin /var/cache/munin/www, lo que significa que podemos acceder a munin desde todos los sitios web de este servidor utilizando la ruta relativa /munin (por ejemplo, http://www.example.com/munin).

La configuración de apache Munin no está activada por defecto, esto se ha cambiado de DebianWheezy a Jessie. El nuevo directorio de configuración es /etc/apache2/conf-enabled en lugar de /etc/apache2/conf.d que se utilizaba en versiones anteriores como Wheezy y Squeeze.

Ejecuta estos comandos para habilitar y cargar la configuración en apache.

cd /etc/apache2/conf-enabled/
ln -s /etc/munin/apache24.conf munin.conf
service apache2 restart

Asegúrate de comentar la línea Require local y añadir Require all granted y Options FollowSymLinks SymLinksIfOwnerMatch en su lugar (de lo contrario, sólo podrás acceder a la salida de Munin desde localhost):

nano /etc/munin/apache24.conf
Alias /munin /var/cache/munin/www
<Directory /var/cache/munin/www>
 # Require local
 Require all granted
 Options FollowSymLinks SymLinksIfOwnerMatch
</Directory>
ScriptAlias /munin-cgi/munin-cgi-graph /usr/lib/munin/cgi/munin-cgi-graph
<Location /munin-cgi/munin-cgi-graph>
# Require local
Require all granted
 Options FollowSymLinks SymLinksIfOwnerMatch
<IfModule mod_fcgid.c>
SetHandler fcgid-script
</IfModule>
<IfModule !mod_fcgid.c>
SetHandler cgi-script
</IfModule>
</Location>

Reinicia Apache:

systemctl restart apache2.service

A continuación, reinicia Munin:

systemctl restart munin-node.service

Ahora espera unos minutos para que Munin pueda producir su primera salida, y luego ve a http://www.example.com/munin/ en tu navegador, y verás las primeras estadísticas:

Monitor del proceso Munin

(Esto es sólo un pequeño extracto de los muchos gráficos que produce munin…)

3 Protege con contraseña el directorio de salida de Munin (Opcional, pero muy recomendable)

Ahora es una buena idea proteger con contraseña el directorio de salida de munin, a menos que quieras que todo el mundo pueda ver cada pequeña estadística sobre tu servidor.

Para ello, debemos crear el archivo de contraseñas /etc/munin/munin-htpasswd. Queremos acceder con el nombre de usuario admin, así que hacemos lo siguiente:

htpasswd -c /etc/munin/munin-htpasswd admin

Introduce una contraseña para admin. A continuación, abre de nuevo /etc/munin/apache24.conf

nano /etc/munin/apache24.conf

… comenta «Require all granted» y añade las líneas que he marcado en rojo:

Alias /munin /var/cache/munin/www
<Directory /var/cache/munin/www>
 # Require local
 # Require all granted
 AuthUserFile /etc/munin/munin-htpasswd
 AuthName "Munin"
 AuthType Basic
 Require valid-user
 Options None
</Directory>
ScriptAlias /munin-cgi/munin-cgi-graph /usr/lib/munin/cgi/munin-cgi-graph
<Location /munin-cgi/munin-cgi-graph>
# Require local
# Require all granted
AuthUserFile /etc/munin/munin-htpasswd
AuthName "Munin"
AuthType Basic
Require valid-user
<IfModule mod_fcgid.c>
SetHandler fcgid-script
</IfModule>
<IfModule !mod_fcgid.c>
SetHandler cgi-script
</IfModule>
</Location>

A continuación, reinicia Apache:

systemctl restart apache2.service

4 Habilitar módulos adicionales en Munin

El comando de Munin «munin-node-configure –suggest» puede utilizarse para obtener recomendaciones sobre módulos adicionales de Munin que pueden habilitarse en el servidor. Ejecútalo:

munin-node-configure --suggest

El resultado debería ser similar a éste:

Sugerencias de módulos Munin adicionales

La columna «usado» muestra si un módulo está habilitado, la columna «Sugerencias» muestra si el servidor ejecuta un servicio que puede ser monitorizado por este módulo. Crea un enlace simbólico para el módulo en /etc/munin/plugins para activarlo.

Aquí habilitaré, por ejemplo, los módulos apache_*:

cd /etc/munin/plugins
ln -s /usr/share/munin/plugins/apache_accesses
ln -s /usr/share/munin/plugins/apache_processes
ln -s /usr/share/munin/plugins/apache_volume

Reinicia Munin para cargar la nueva configuración.

systemctl restart munin-node.service

5 Instalar y configurar Monit

Monit está disponible en el repositorio de Debian Buster backports. Este repositorio no está habilitado por defecto, así que tenemos que añadirlo primero. Ejecuta este comando

echo 'deb http://ftp.de.debian.org/debian buster-backports main' > /etc/apt/sources.list.d/buster-backports.list

y luego actualiza las listas de paquetes con:

apt update

Para instalar Monit, hacemos esto

apt install monit

Ahora debemos editar /etc/monit/monitrc. El /etc/monit/monitrc por defecto tiene muchos ejemplos, y puedes encontrar más ejemplos de configuración en http://mmonit.com/monit/documentation/. Sin embargo, en mi caso quiero monitorizar proftpd, sshd, mysql, apache y postfix, quiero habilitar la interfaz web de Monit en el puerto 2812, quiero una interfaz web https, quiero acceder a la interfaz web con el nombre de usuario admin y la contraseña howtoforge, y quiero que Monit envíe alertas por correo electrónico a root@localhost, así que mi archivo tiene este aspecto (he añadido ejemplos para otros demonios a la configuración para que puedas ajustar el archivo a tus necesidades):

cp /etc/monit/monitrc /etc/monit/monitrc_orig
cat /dev/null > /etc/monit/monitrc
nano /etc/monit/monitrc
set daemon 60
set logfile syslog facility log_daemon
set mailserver localhost
set mail-format { from: [email protected] }
set alert root@localhost
set httpd port 2812 and
 SSL ENABLE
 PEMFILE /var/certs/monit.pem
 allow admin:howtoforge
check process sshd with pidfile /var/run/sshd.pid
start program "/usr/sbin/service ssh start"
stop program "/usr/sbin/service ssh stop"
if failed port 22 protocol ssh then restart
if 5 restarts within 5 cycles then timeout

check process apache with pidfile /var/run/apache2/apache2.pid
group www
start program = "/usr/sbin/service apache2 start"
stop program = "/usr/sbin/service apache2 stop"
if failed host localhost port 80 protocol http
and request "/monit/token" then restart
if cpu is greater than 60% for 2 cycles then alert
if cpu > 80% for 5 cycles then restart
if totalmem > 500 MB for 5 cycles then restart
if children > 250 then restart
if loadavg(5min) greater than 10 for 8 cycles then stop
if 3 restarts within 5 cycles then timeout

# ---------------------------------------------------------------------------------------------
# NOTE: Replace example.pid with the pid name of your server, the name depends on the hostname
# ---------------------------------------------------------------------------------------------
#check process mysql with pidfile /var/lib/mysql/example.pid
# group database
# start program = "/usr/sbin/service mysql start"
# stop program = "/usr/sbin/service mysql stop"
# if failed host 127.0.0.1 port 3306 then restart
# if 5 restarts within 5 cycles then timeout

#check process proftpd with pidfile /var/run/proftpd.pid
# start program = "/usr/sbin/service proftpd start"
# stop program = "/usr/sbin/service proftpd stop"
# if failed port 21 protocol ftp then restart
# if 5 restarts within 5 cycles then timeout
#
#check process postfix with pidfile /var/spool/postfix/pid/master.pid
# group mail
# start program = "/usr/sbin/service postfix start"
# stop program = "/usr/sbin/service postfix stop"
# if failed port 25 protocol smtp then restart
# if 5 restarts within 5 cycles then timeout
#
#check process nginx with pidfile /var/run/nginx.pid
# start program = "/usr/sbin/service nginx start"
# stop program = "/usr/sbin/service nginx stop"
# if failed host 127.0.0.1 port 80 then restart
#
#check process memcached with pidfile /var/run/memcached.pid
# start program = "/usr/sbin/service memcached start"
# stop program = "/usr/sbin/service memcached stop"
# if failed host 127.0.0.1 port 11211 then restart
#
#check process pureftpd with pidfile /var/run/pure-ftpd/pure-ftpd.pid
# start program = "/usr/sbin/service pure-ftpd-mysql start"
# stop program = "/usr/sbin/service pure-ftpd-mysql stop"
# if failed port 21 protocol ftp then restart
# if 5 restarts within 5 cycles then timeout
#
#check process named with pidfile /var/run/named/named.pid
# start program = "/usr/sbin/service bind9 start"
# stop program = "/usr/sbin/service bind9 stop"
# if failed host 127.0.0.1 port 53 type tcp protocol dns then restart
# if failed host 127.0.0.1 port 53 type udp protocol dns then restart
# if 5 restarts within 5 cycles then timeout
#
#check process ntpd with pidfile /var/run/ntpd.pid
# start program = "/usr/sbin/service ntp start"
# stop program = "/usr/sbin/service ntp stop"
# if failed host 127.0.0.1 port 123 type udp then restart
# if 5 restarts within 5 cycles then timeout
#
#check process mailman with pidfile /var/run/mailman/mailman.pid
# group mail
# start program = "/usr/sbin/service mailman start"
# stop program = "/usr/sbin/service mailman stop"
#
#check process amavisd with pidfile /var/run/amavis/amavisd.pid
# group mail
# start program = "/usr/sbin/service amavis start"
# stop program = "/usr/sbin/service amavis stop"
# if failed port 10024 protocol smtp then restart
# if 5 restarts within 5 cycles then timeout
#
#check process courier-imap with pidfile /var/run/courier/imapd.pid
# group mail
# start program = "/usr/sbin/service courier-imap start"
# stop program = "/usr/sbin/service courier-imap stop"
# if failed host localhost port 143 type tcp protocol imap then restart
# if 5 restarts within 5 cycles then timeout
#
#check process courier-imap-ssl with pidfile /var/run/courier/imapd-ssl.pid
# group mail
# start program = "/usr/sbin/service courier-imap-ssl start"
# stop program = "/usr/sbin/service courier-imap-ssl stop"
# if failed host localhost port 993 type tcpssl sslauto protocol imap then restart
# if 5 restarts within 5 cycles then timeout
#
#check process courier-pop3 with pidfile /var/run/courier/pop3d.pid
# group mail
# start program = "/usr/sbin/service courier-pop start"
# stop program = "/usr/sbin/service courier-pop stop"
# if failed host localhost port 110 type tcp protocol pop then restart
# if 5 restarts within 5 cycles then timeout
#
#check process courier-pop3-ssl with pidfile /var/run/courier/pop3d-ssl.pid
# group mail
# start program = "/usr/sbin/service courier-pop-ssl start"
# stop program = "/usr/sbin/service courier-pop-ssl stop"
# if failed host localhost port 995 type tcpssl sslauto protocol pop then restart
# if 5 restarts within 5 cycles then timeout
#
#check process dovecot with pidfile /var/run/dovecot/master.pid
# group mail
# start program = "/usr/sbin/service dovecot start"
# stop program = "/usr/sbin/service dovecot stop"
# if failed host localhost port 993 type tcpssl sslauto protocol imap then restart
# if 5 restarts within 5 cycles then timeout

El archivo de configuración es bastante autoexplicativo; si no estás seguro de alguna opción, echa un vistazo a la documentación de Monit: http://mmonit.com/monit/documentation/monit.html

En la parte apache de la configuración de Monit encontrarás esto

   if failed host localhost port 80 protocol http
      and request "/monit/token" then restart

lo que significa que Monit intenta conectarse a localhost en el puerto 80 e intenta acceder al archivo /monit/token que es /var/www/html/monit/token porque la raíz del documento de nuestro sitio web es /var/www/html. Si Monit no lo consigue, significa que Apache no se está ejecutando, y Monit va a reiniciarlo. Ahora debemos crear el archivo /var/www/html/monit/token y escribir en él alguna cadena aleatoria:

mkdir /var/www/html/monit
echo "hello" > /var/www/html/monit/token

A continuación creamos el pem cert(/var/certs/monit.pem) que necesitamos para la interfaz web de Monit cifrada con SSL:

mkdir /var/certs
cd /var/certs

Necesitamos un archivo de configuración OpenSSL para crear nuestro certificado. Puede tener este aspecto:

nano /var/certs/monit.cnf
# create RSA certs - Server

[ req ]
default_bits = 2048
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type

[ req_dn ]
countryName = Country Name (2 letter code)
countryName_default = MO

stateOrProvinceName             = State or Province Name (full name)
stateOrProvinceName_default     = Monitoria

localityName                    = Locality Name (eg, city)
localityName_default            = Monittown

organizationName                = Organization Name (eg, company)
organizationName_default        = Monit Inc.

organizationalUnitName          = Organizational Unit Name (eg, section)
organizationalUnitName_default  = Dept. of Monitoring Technologies

commonName                      = Common Name (FQDN of your server)
commonName_default              = server.monit.mo

emailAddress                    = Email Address
emailAddress_default            = [email protected]

[ cert_type ]
nsCertType = server

Ahora creamos el certificado así:

openssl req -new -x509 -days 365 -nodes -config ./monit.cnf -out /var/certs/monit.pem -keyout /var/certs/monit.pem
openssl dhparam 2048 >> /var/certs/monit.pem
openssl x509 -subject -dates -fingerprint -noout -in /var/certs/monit.pem
chmod 600 /var/certs/monit.pem

Por último, podemos iniciar Monit:

service monit restart

Ahora dirige tu navegador a https://www.example.com:2812/ (asegúrate de que el puerto 2812 no está bloqueado por tu cortafuegos), inicia sesión con admin y howtoforge, y deberías ver la interfaz web de Monit. Debería tener este aspecto:

Gestor de servicios Monit en Debian

(Pantalla principal)

Estado del proceso SSH

Estado del proceso Apache

(Página de estado SSHd)

Dependiendo de tu configuración en /etc/monit/monitrc monit reiniciará tus servicios si fallan y enviará correos electrónicos de notificación si cambian los IDs de proceso de los servicios, etc.

Para obtener el estado de Monit en el shell, ejecuta el comando «monit status»:

monit status

El comando mostrará el estado de todos los servicios monitorizados.

Monitorea el estado en la línea de comandos

6 Enlaces

También te podría gustar...