EDM предоставляется клиентам как набор Docker-контейнеров с файлами для их запуска с определенными настройками. С учётом существующих практик мониторинга и контроля работы Docker-контейнеров был сформирован набор сервисов для мониторинга EDM Issue:
- Telegraf – получение данных о физическом хосте и Docker-контейнерах EDM Issue и сохранение этих данных в базе данных Influxdb;
- Influxdb – хранение данных, получаемых от сервиса Telegraf, и их предоставление сервису Grafana;
- Prometheus – получение данных о метриках EDM Issue и их предоставление сервису Grafana;
- Grafana – сбор данных системы мониторинга с сервисов Influxdb и Prometheus и предоставление этих данных в понятном пользователю системы мониторинга виде.
Запуск системы мониторинга EDM Issue
Пример файлов конфигурации сервисов мониторинга и пример файла Docker Compose для запуска сервисов мониторинга вместе с EDM Issue поставляется в архиве вместе с служебными файлами для запуска EDM Issue. Файлы системы мониторинга в этом архиве находятся в директории monitoring и имеют следующую структуру:
.
├── .env
├── docker-compose.yml
├── grafana
│ └── provisioning
│ ├── dashboards
│ │ ├── dashboard.yml
│ │ ├── edm_alert_metrics.json
│ │ └── edm_monitor.json
│ ├── datasources
│ │ └── datasource.yml
│ └── notifiers
│ ├── email.yml
│ └── telegram.yml
├── influxdb
│ └── influx_init.iql
├── prometheus
│ └── prometheus.yml
└── telegraf
└── telegraf.conf
Для запуска системы мониторинга EDM Issue требуется произвести следующие шаги:
- Перейти в директорию с служебными файлами EDM Issue.
- Перейти в директорию "monitoring".
Запустить систему мониторинга EDM Issue командой:
Команда запуска EDM Issuedocker compose up -d
Убедиться, что все контейнеры EDM Issue успешно запустились, используя команду:
Команда проверки статуса контейнеров EDM Issuedocker compose ps
Теперь с системой мониторинга EDM Issue можно взаимодействовать через web-интерфейс Grafana.
Остановка системы мониторинга EDM Issue
Для остановки системы мониторинга EDM Issue требуется произвести следующие шаги:
- Перейти в директорию с файлами работающего EDM Issue.
- Перейти в директорию "monitoring".
Выполнить команду:
Команда остановки EDM Issuedocker compose down
В результате этого сервис мониторинга EDM Issue будет остановлен. Ошибка, возникшая при остановке системы мониторинга, появляется в том случае, если работа системы мониторинга останавливается при работающем EDM Issue, т.е. эту ошибку можно игнорировать. Для повторного запуска остановленного сервиса мониторинга EDM Issue нужно выполнить команду "docker compose up -d".
Информация о доступных в системе мониторинга метриках EDM Issue
Авторизация
После запуска системы мониторинга EDM Issue администратору системы мониторинга становится доступен web-интерфейс Grafana по адресу http://<EDM_ADDRESS>:3000/,где <EDM_ADDRESS> — это адрес сервера EDM Issue в сети (это может быть IP-адрес или доменное имя, если для IP-адреса хоста, на котором запущен EDM Issue, создана DNS-запись). Авторизоваться в ней можно по умолчанию с логином admin и паролем password.
Рисунок 25 – Форма авторизации web-интерфейса Grafana
После авторизации в web-интерфейсе Grafana для доступа к данным мониторинга с EDM Issue требуется перейти в раздел "Dashboards" – "Manage". В этом разделе в директории "General" будет располагаться две панели мониторинга – "edm_alert_metrics" и "edm_monitor".
Рисунок 26 – Список панелей мониторинга EDM Issue
Панель мониторинга "edm_alert_metrics"
Панель мониторинга "edm_alert_metrics" предоставляет администратору EDM Issue информацию о состоянии внутренних метрик EDM Issue.
Рисунок 27 – Общий вид панели мониторинга "edm_alert_metrics"
Полный список представленных на панели метрик перечислен в таблице 1.
Таблица 1 — Список внутренних метрик EDM Issue, отображающийся в панели мониторинга "edm_alert_metrics" web-интерфейса Grafana
| Имя счётчика | Описание | Примечание |
|---|---|---|
| Общие для контейнеров edmi-server и edmi-loader | ||
| dbAccessError | Ошибки доступа к БД | |
| sqlError | Ошибки выполнения SQL-запроса | |
| rootAccessError | Ошибки подключения к Root-серверу | |
| Только для контейнера edmi-loader | ||
| loadLicenseData | Время получения данных лицензии | С замером длительности и фиксацией успешности |
| loadIpsDataError | Ошибки, возникшие при обновлении загружаемого контента, не связанные с конкретным поставщиком IDS/IPS-правил | |
| kasperskyLoadRules | Время загрузки лицензируемых IDS/IPS-правил вендора Kaspersky Lab от EDM Root | С замером длительности и фиксацией успешности |
| ptsecurityLoadRules | Время загрузки лицензируемых IDS/IPS-правил вендора Positive Technologies от EDM Root | С замером длительности и фиксацией успешности |
| loadOpenRules | Время загрузки лицензируемых IDS/IPS-правил из открытых источников | С замером длительности и фиксацией успешности |
| loadOpenFileError | Ошибки получения отдельно взятого файла с IDS/IPS-правилами из открытого источника | |
| syncDevices | Время синхронизации списка устройств | С замером длительности и фиксацией успешности |
| Только для контейнера edmi-server | ||
| esrRulesRequest | Количество запросов правил от ESR | С замером длительности и фиксацией успешности |
| esrCertificateRequest | Количество запросов сертификата от EDM Issue | С замером длительности и фиксацией успешности |
| revokeCertificate | Количество отзывов сертификата ESR | С замером длительности и фиксацией успешности |
| esrAuthFailed | Количество ошибок аутентификации от ESR | |
| getEsrLicenseError | Ошибки получения файла лицензии ESR от EDM Root | |
| ipAccessDenied | Количество заблокированных запросов к EDM Issue с помощью IP-правил | |
| blockIp | Количество автоматически заблокированных IP-адресов | |
| serviceDenial | Количество зарегистрированных отказов в обслуживании (отклонение запросов из-за загруженности сервера) | |
| requestRejected | Количество зарегистрированных отказов в обработке запроса (переполнение очереди запросов) | |
Панель мониторинга "edm_monitor"
Панель мониторинга "edm_monitor" предоставляет администратору EDM Issue общую информацию о хосте, в котором запущен EDM Issue, а также информацию о Docker-контейнерах EDM Issue.
Рисунок 28 – Общий вид панели мониторинга "edm_monitor"
На данной панели мониторинга представлена следующая информация:
- Средняя загруженность системы (за 1/5/15 минут);
- Количество ядер процессора;
- Загруженность процессора (в процентах);
- Количество используемой/всего оперативной памяти;
- Загрузка процессора Docker-контейнерами EDM Issue;
- Использование памяти Docker-контейнерами EDM Issue;
- Информация о Docker-контейнерах EDM Issue:
- имя сервиса;
- идентификатор процесса;
- код возврата (при работе контейнера – код 0);
- время старта контейнера;
- время работы контейнера;
- флаг нехватки оперативной памяти.