V této příručce vám ukážeme, jak nainstalovat a nakonfigurovat nejnovější verzi softwaru Observium Network Monitoring (Community Edition) ve verzi Debian 9, abyste mohli monitorovat síťové vybavení ve vašich prostorách.
Observium je výkonný a flexibilní bezplatný a open source software pro automatické zjišťování sítě napsaný převážně v programovacím jazyce PHP a nasazený v Linuxu pod webovými servery Apache/Nginx, systémem správy databází PHP a MySQL/MariaDB, také známým jako LAMP nebo LEMP stack. Ovservium používá protokol SNMP k dotazování na stav síťových hostitelů, serverů, směrovačů, přepínačů a dalších síťových zařízení, přičemž podporuje širokou škálu síťového hardwaru a operačních systémů, jako jsou Linux, Windows, Cisco, HP, FreeBSD, Juniper, Brocade, Dell a další významní prodejci síťových zařízení. Proces správy aplikace lze snadno dosáhnout pomocí jednoduchého a intuitivního webového rozhraní.
Požadavky
- Minimální instalace Debianu 9 na počítačový server nebo na virtuální privátní server
- práva sudo root pro místní nebo vzdálený účet nebo přímý přístup k účtu root
- Statická adresa IP nakonfigurovaná pro jednu z vašich systémových síťových karet
- Název domény, soukromý nebo veřejný, v závislosti na vašem nasazení, se správnými záznamy DNS nakonfigurovanými pro webové služby. Pokud nemáte platný nebo registrovaný název domény, můžete provést instalaci a přistupovat na web přes IP adresu vašeho serveru
- Pokud chcete používat e-mailová upozornění Observium, měli byste mít ve svých prostorách správně nakonfigurovaný běžící poštovní server se vzdáleným přístupem k jeho službám IMAP a SMTP. Pro stejný úkol můžete také použít veřejnou e-mailovou službu, jako je Gmail nebo Yahoo! Pošta.
Instalovat Apache, PHP a MySQL
Než začnete s instalací a konfigurací Observium ze zdrojů na vašem vlastním serveru, nejprve se ujistěte, že systém splňuje všechny softwarové požadavky pro kompilaci a instalaci aplikace. V prvním kroku aktualizujte systémová úložiště a softwarové balíčky vydáním následujícího příkazu.
apt update
apt upgrade
Dále spusťte následující příkaz, abyste nainstalovali některé potřebné nástroje, které budou použity k další správě vašeho systému z příkazového řádku.
apt install wget bash-completion curl
Po úplné aktualizaci systému a instalaci požadovaných nástrojů pro správu serveru nastavte název systému provedením následujícího příkazu. Podle toho nahraďte proměnnou názvu hostitele.
hostnamectl set-hostname www.mynet.com
Ověřte název hostitele počítače a soubor hostitelů vydáním následujících příkazů.
hostnamectl
cat /etc/hostname
hostname –s
hostname –f
Nakonec restartujte server Debian, aby se mohly správně aplikovat aktualizace jádra a název hostitele.
systemctl reboot
Observium je webová platforma pro monitorování sítě napsaná v programovacím jazyce PHP na straně serveru. Aby bylo možné spustit souborové skripty PHP aplikace, musí být v systému nainstalován a zprovozněn webový server, jako je server Apache HTTP, a brána pro zpracování PHP. Chcete-li nainstalovat webový server Apache a interpret PHP spolu se všemi požadovanými moduly PHP, které aplikace potřebuje ke správnému fungování, zadejte na konzole serveru následující příkaz.
apt install apache2 libapache2-mod-php7.0 php7.0 php7.0-gd php7.0-opcache php7.0-json php7.0-mbstring php7.0-mcrypt php-pear php7.0-cli php7.0-snmp
Vydejte následující příkaz, abyste ověřili, zda jsou ve vašem systému povoleny všechny nainstalované moduly PHP
php –m
Ujistěte se také, že jste nainstalovali následující nástroje požadované Observium k dotazování a monitorování síťových zařízení prostřednictvím protokolu SNMP, zjišťování a vkládání dalších síťových parametrů a zobrazování grafů systémových zdrojů.
apt install fping rrdtool graphviz ipmitool snmp whois mtr-tiny imagemagick python-mysqldb
Po instalaci Apache a PHP otestujte, zda je webový server v provozu a naslouchá síťovým připojením na portu 80 zadáním následujícího příkazu s právy root.
netstat –tlpn
V případě netstat síťový nástroj není ve výchozím nastavení ve vašem systému Debian nainstalován, nainstalujte jej provedením následujícího příkazu.
apt install net-tools
Prozkoumáním výstupu příkazu netstat můžete vidět, že webový server Apache naslouchá příchozím síťovým připojením na portu 80. Pro stejný úkol můžete také použít ss příkaz, který je automaticky nainstalován ve výchozím nastavení v Debianu 9.
ss- tulpn
V případě, že máte ve svém systému povolenou bránu firewall, jako je například aplikace brány firewall UFW, měli byste přidat nové pravidlo, které umožní průchod HTTP provozu přes bránu firewall, zadáním následujícího příkazu.
ufw allow WWW
nebo
ufw allow 80/tcp
Pokud používáte iptables nezpracovaných pravidel pro správu pravidel brány firewall na vašem serveru Debian přidejte následující pravidlo, které povolí příchozí provoz na portech 80 a 22 (pro SSH), aby ostatní správci sítě mohli procházet online aplikaci.
apt-get install -y iptables-persistent
iptables -I INPUT -p tcp --destination-port 80 -j ACCEPT
iptables -I INPUT -p tcp --destination-port 22 -j ACCEPT
netfilter-persistent save
systemctl restart netfilter-persistent
systemctl status netfilter-persistent
systemctl enable netfilter-persistent.service
Dále povolte a použijte následující moduly Apache, které aplikace vyžaduje ke správnému chodu, zadáním následujících příkazů.
a2enmod rewrite
systemctl restart apache2
Nakonec otestujte, zda lze výchozí webovou stránku webového serveru Apache zobrazit v prohlížečích vašeho klienta návštěvou IP adresy vašeho počítače Debian nebo názvu vaší domény nebo FQDN serveru prostřednictvím protokolu HTTP, jak je znázorněno na obrázku níže. Pokud neznáte IP adresu svého počítače, spusťte ifconfig nebo ip a příkazy k odhalení IP adresy vašeho serveru.
http://vase_domena.tld
Chcete-li nainstalovat a získat přístup k ovládacímu panelu webového administrátora Observium prostřednictvím protokolu HTTPS (který zajistí provoz pro vaše klienty), zadejte následující příkaz pro povolení modulu SSL webového serveru Apache a konfiguračního souboru webu SSL.
a2enmod ssl
a2ensite default-ssl.conf
Dále otevřete výchozí konfigurační soubor webu Apache SSL pomocí textového editoru a povolte pravidla pro přepis URL přidáním následujících řádků kódu za DocumentRoot direktivu, jak je ukázáno v níže uvedeném příkladu:
nano /etc/apache2/sites-enabled/default-ssl.conf
Výňatek z konfiguračního souboru webu SSL:
<Directory /var/www/html>
Options +FollowSymlinks
AllowOverride All
Require all granted
</Directory>
Proveďte také změnu VirtualHost aby vypadal takto:
<VirtualHost *:443>
Zavřete soubor SSL Apache a otevřete /etc/apache2/sites-enabled/000-default.conf soubor pro úpravy a přidejte stejná pravidla pro přepis URL jako pro konfigurační soubor SSL. Za DocumentRoot vložte následující řádky kódu prohlášení:
<Directory /var/www/html>
Options +FollowSymlinks
AllowOverride All
Require all granted
</Directory>
Nakonec restartujte démona Apache, abyste použili všechna dosud nakonfigurovaná pravidla a navštivte svou doménu prostřednictvím protokolu HTTP. Protože používáte automaticky páry certifikátů Self-Signed vydané Apache při instalaci, certifikát, kterému prohlížeč nedůvěřuje, mělo by se v prohlížeči zobrazit varování o chybě.
systemctl restart apache2
https://vasedomena.tld
Chcete-li přijmout nedůvěryhodný certifikát, přijměte varování a budete nadále přesměrováni na výchozí webovou stránku Apache, jak je znázorněno na následujícím obrázku.
V případě, že aplikace firewallu UFW blokuje příchozí síťová připojení k portu HTTPS, měli byste přidat nové pravidlo, které povolí provoz HTTPS procházet bránou firewall, zadáním následujícího příkazu.
ufw allow ‘WWW Full’
nebo
ufw allow 443/tcp
Pokud iptables je výchozí firewallová aplikace nainstalovaná pro ochranu vašeho systému Debian na úrovni sítě, přidejte následující pravidlo, které povolí příchozí provoz na portu 443 ve firewallu, aby návštěvníci mohli procházet název vaší domény.
iptables -I INPUT -p tcp --destination-port 443 -j ACCEPT
netfilter-persistent save
systemctl restart netfilter-persistent
systemctl status netfilter-persistent
V dalším kroku musíme provést nějaké další změny ve výchozím konfiguračním souboru PHP, abychom se ujistili, že jsou povoleny následující proměnné PHP a časové pásmo PHP je správně nakonfigurováno a odpovídá geografické poloze vašeho systému. Otevřete soubor /etc/php/7.0/apache2/php.ini soubor pro úpravu a ujistěte se, že následující řádky jsou nastaveny tak, jak je uvedeno. Nejprve si také vytvořte zálohu konfiguračního souboru PHP.
cp /etc/php/7.0/apache2/php.ini{,.backup} nano /etc/php/7.0/apache2/php.ini
Hledejte, upravujte a měňte následující proměnné v php.ini konfigurační soubor:
file_uploads = On
default_charset = UTF-8
error_reporting = E_ALL & ~E_NOTICE
date.timezone = Europe/London
Nahraďte date.timezone proměnnou podle geografické polohy vašeho serveru pomocí seznamu časových pásem poskytovaných dokumenty PHP na následujícím odkazu http://php.net/manual/en/timezones.php
Chcete-li zvýšit rychlost načítání svých webových stránek pomocí pluginu OPCache dostupného pro PHP7, přidejte následující nastavení OPCache na konec konfiguračního souboru PHP interpretu pod [opcache] prohlášení, jak je podrobně popsáno níže:
nano /etc/php/7.0/apache2/php.ini
[opcache]
opcache.enable=1
opcache.enable_cli=1
opcache.interned_strings_buffer=8
opcache.max_accelerated_files=10000
opcache.memory_consumption=128
opcache.save_comments=1
opcache.revalidate_freq=1
Zavřete php.ini konfiguračním souborem a ověřte konec konfiguračního souboru PHP, abyste zkontrolovali, zda byly proměnné OPCache správně přidány zadáním níže uvedeného příkazu.
grep opcache /etc/php/7.0/apache2/php.ini
Po provedení všech změn vysvětlených výše restartujte démona apache, aby se nové změny aplikovaly, zadáním následujícího příkazu.
systemctl restart apache2
Nakonec vytvořte soubor s informacemi o PHP provedením následujícího příkazu a zkontrolujte, zda bylo časové pásmo PHP správně nakonfigurováno tím, že navštívíte soubor skriptu PHP info z prohlížeče na následující adrese URL, jak je znázorněno na obrázku níže. Přejděte dolů na datum nastavení pro kontrolu konfigurace časového pásma PHP.
echo '<?php phpinfo(); ?>'| tee /var/www/html/info.php
https://domena.tld/info.php
Webová aplikace Observium ukládá různé konfigurace, jako jsou uživatelé, relace, kontakty, síťová zařízení, IP adresy, síťová rozhraní a další data, v databázi RDBMS. V této příručce nakonfigurujeme aplikaci Observium tak, aby používala databázi MariaDB jako backend. Chcete-li nainstalovat databázi MariaDB a modul PHP potřebný pro přístup k databázi MySQL, zadejte následující příkaz.
apt install mariadb-server php7.0-mysql mariadb-client
Po instalaci MariaDB zkontrolujte spuštěním netstat Pokud démon běží a naslouchá připojení na localhost, port 3306.
netstat –tlpn | grep mysql
Poté se přihlaste do konzole MySQL a zabezpečte root účet MariaDB vydáním následujících příkazů.
mysql -h localhost
Welcome to the MariaDB monitor. Commands end with ; or \g.
Your MariaDB connection id is 2
Server version: 10.1.26-MariaDB-0+deb9u1 Debian 9.1
Copyright (c) 2000, 2017, Oracle, MariaDB Corporation Ab and others.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
MariaDB [(none)]> use mysql;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
Database changed
MariaDB [mysql]> update user set plugin='' where user='root';
Query OK, 1 row affected (0.00 sec)
Rows matched: 1 Changed: 1 Warnings: 0
MariaDB [mysql]> flush privileges;
Query OK, 0 rows affected (0.00 sec)
MariaDB [mysql]> exit
Bye
V dalším kroku zabezpečte MariaDB spuštěním skriptu mysql_secure_installation poskytované instalačními balíčky z repozitářů Debian stretch. Při spuštění skriptu bude položena řada otázek určených k zabezpečení databáze MariaDB, jako například:změna hesla root MySQL, odstranění anonymních uživatelů, zakázání vzdáleného přihlášení root a odstranění testovací databáze. Spusťte skript vydáním následujícího příkazu a ujistěte se, že na všechny položené otázky zadáte ano, abyste plně zabezpečili démona MySQL. Jako vodítko použijte následující úryvek z výstupu skriptu.
mysql_secure_installation
NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MariaDB SERVERS IN PRODUCTION USE! PLEASE READ EACH STEP CAREFULLY! In order to log into MariaDB to secure it, we'll need the current password for the root user. If you've just installed MariaDB, and you haven't set the root password yet, the password will be blank, so you should just press enter here. Enter current password for root (enter for none): OK, successfully used password, moving on... Setting the root password ensures that nobody can log into the MariaDB root user without the proper authorisation. You already have a root password set, so you can safely answer 'n'. Change the root password? [Y/n] y New password: Re-enter new password: Password updated successfully! Reloading privilege tables.. ... Success! By default, a MariaDB installation has an anonymous user, allowing anyone to log into MariaDB without having to have a user account created for them. This is intended only for testing, and to make the installation go a bit smoother. You should remove them before moving into a production environment. Remove anonymous users? [Y/n] y ... Success! Normally, root should only be allowed to connect from 'localhost'. This ensures that someone cannot guess at the root password from the network. Disallow root login remotely? [Y/n] y ... Success! By default, MariaDB comes with a database named 'test' that anyone can access. This is also intended only for testing, and should be removed before moving into a production environment. Remove test database and access to it? [Y/n] y - Dropping test database... ... Success! - Removing privileges on test database... ... Success! Reloading the privilege tables will ensure that all changes made so far will take effect immediately. Reload privilege tables now? [Y/n] y ... Success! Cleaning up... All done! If you've completed all of the above steps, your MariaDB installation should now be secure. Thanks for using MariaDB!
Chcete-li otestovat zabezpečení MariaDB, zkuste se přihlásit do databáze z konzole bez hesla root. Přístup k databázi by měl být odepřen, pokud není poskytnuto žádné heslo pro účet root, jak je znázorněno na níže uvedeném úryvku příkazu:
mysql -h localhost -u root
ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: NO)
Pokud je zadáno heslo, měl by být proces přihlášení povolen konzoli MySQL, jak je znázorněno v následujícím příkladu příkazu:
mysql -h localhost -u root -p
Enter password:
Welcome to the MariaDB monitor. Commands end with ; or \g.
Your MariaDB connection id is 15
Server version: 10.1.26-MariaDB-0+deb9u1 Debian 9.1
Copyright (c) 2000, 2017, Oracle, MariaDB Corporation Ab and others.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
MariaDB [(none)]> exit
Bye
Dále se přihlaste k databázové konzoli MariaDB a zadáním následujících příkazů vytvořte databázi pro aplikaci Observium a uživatele s heslem, který bude použit pro správu databáze aplikace. Podle toho nahraďte název databáze, uživatele a heslo.
mysql –u root -p
Welcome to the MariaDB monitor. Commands end with ; or \g.
Your MariaDB connection id is 2
Server version: 10.1.26-MariaDB-0+deb9u1 Debian 9.1
Copyright (c) 2000, 2017, Oracle, MariaDB Corporation Ab and others.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
MariaDB [(none)]> create database observium_db;
Query OK, 1 row affected (0.00 sec)
MariaDB [(none)]> grant all privileges on observium_db.* to 'observium_user'@'localhost' identified by 'password1234';
Query OK, 0 rows affected (0.00 sec)
MariaDB [(none)]> flush privileges;
Query OK, 0 rows affected (0.00 sec)
MariaDB [(none)]> exit
Bye
Chcete-li použít všechny dosud provedené změny, restartujte démony MySQL a Apache a ověřte, zda démoni běží, zadáním následujících příkazů.
systemctl restart mysql apache2
systemctl status mysql apache2
Instalovat Observium Network Monitoring Platform
Po splnění všech systémových požadavků pro instalaci aplikace navštivte oficiální stránku Observium na www.observium.org a stáhněte si nejnovější komprimovaný archiv gzip zadáním následujícího příkazu.
wget http://www.observium.org/observium-community-latest.tar.gz
Po dokončení stahování archivu gzip rozbalte archivní soubor Observium do aktuálního pracovního adresáře a vypište extrahované soubory pomocí následujících příkazů. Odstraňte také výchozí soubor index.html nainstalovaný webovým serverem Apache na cestu webroot a také odstraňte dříve vytvořený soubor info.php.
tar xfz observium-community-latest.tar.gz
ls
rm /var/www/html/index.html
rm /var/www/html/info.php
Instalační soubory Observium jsou umístěny ve vašem aktuálním pracovním adresáři v observium/ adresář. Problém ls příkaz pro výpis souborů tohoto adresáře. Zkopírujte veškerý obsah extrahovaného adresáře do kořenové cesty dokumentu vašeho webového serveru o úroveň výš (/var/www/ adresář) zadáním následujících příkazů. Také se ujistěte, že jste zkopírovali skryté soubory do instalačního adresáře a vytvořili protokoly a rrd adresáře v tomto umístění.
cp -rf observium/* /var/www/
cp observium/.scrutinizer.yml /var/www/
mkdir /var/www/logs
mkdir /var/www/rrd
ls -al /var/www/
Poté spusťte následující příkazy, abyste uživateli běhového prostředí Apache udělili plná oprávnění k zápisu do webové kořenové cesty a rrd aplikace a protokoly adresáře. Použijte ls příkaz k zobrazení seznamu oprávnění pro nainstalované soubory aplikace, které se nacházejí v adresářích /var/www/html/ a rrd a logs.
chown -R www-data:www-data /var/www/rrd/
chown -R www-data:www-data /var/www/logs/
chown -R www-data:www-data /var/www/html/
ls -al /var/www/html/
V dalším kroku vytvořte nový konfigurační soubor aplikace založený na konfiguračním souboru výchozí šablony Observium zadáním následujících příkazů.
cd /var/www/
cp config.php.default config.php
Dále začněte upravovat konfigurační soubor Observium a podle toho nahraďte následující proměnné připojení MySQL.
nano /var/www/ config.php
V horní části souboru config.php soubor, vyhledejte a aktualizujte název databáze MySQL a přihlašovací údaje podle vlastního nastavení, jak je znázorněno na následujícím úryvku ze souboru:
$config['db_extension'] = 'mysqli';
$config['db_host'] = 'localhost';
$config['db_user'] = 'observium_user';
$config['db_pass'] = 'password1234';
$config['db_name'] = 'observium_db';
Dále uložte a zavřete soubor config.php a importujte schéma databáze Observium MySQL spuštěním discover.php skript s –u příznak, jak je znázorněno na následujícím snímku obrazovky. PHP skript se nachází v adresáři /var/www/.
/var/www/discovery.php –u
Dále přidejte první účet správce Observium s nejvyšší úrovní oprávnění (10) spuštěním souboru adduser.php skript umístěný v adresáři /var/www/. Zvolte silné heslo pro účet správce Observium.
/var/www/adduser.php observium_admin strongpass123 10
Chcete-li se přihlásit k panelu webového administrátora Observium, otevřete prohlížeč a přejděte na IP adresu nebo název domény nebo FQDN serveru prostřednictvím protokolu HTTPS. Přihlaste se k řídicímu panelu Observium pomocí uživatelského jména a hesla nakonfigurovaného pro účet správce ve výše uvedeném kroku.
https://vasedomena.tld
Poté, co se přihlásíte do aplikace pomocí přihlašovacích údajů správce, můžete dále vyladit nastavení aplikace tak, že přejdete na /settings/ URL nebo kliknete na nabídku Globální nastavení -> Upravit, jak je znázorněno na následujícím snímku obrazovky. Parametry Observium konfigurované přes webové rozhraní lze také napevno zakódovat do konfiguračního souboru aplikace:/var/www/config.php
Chcete-li monitorovat síťové zařízení prostřednictvím protokolu SNMP, klepněte na nabídku vlevo nahoře a z rozbalovací nabídky vyberte možnost Přidat zařízení, jak je znázorněno na obrázku níže. Můžete také přidat nové zařízení pomocí příkazového řádku.
/var/www/add_device.php hostname_or_IP SNMP_community_string v2c
A konečně, chcete-li návštěvníky přinutit, aby bezpečně procházeli rozhraní Observium prostřednictvím protokolu HTTPS, který šifruje provoz mezi serverem a klientskými prohlížeči, vraťte se na terminál svého serveru a upravte .htaccess soubor umístěný v kořenové cestě dokumentu vašeho webu, zadáním níže uvedeného příkazu.
nano /var/www/html/.htaccess
Po RewriteEngine on přidejte do souboru .htaccess následující pravidla řádek, aby se automaticky přesměroval provoz domény na HTTPS.
.htaccess úryvek ze souboru:
# Redirect to HTTPS
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{SERVER_NAME}/$1 [R,L]
Výpis webových dokumentů serveru Apache HTTP můžete také zakázat přidáním následujícího řádku za přesměrování na řádky HTTPS:
Options -Indexes
Ve spodní části souboru můžete změnit nativní nastavení serveru PHP pomocí následujících příkladů konfigurace. Upravte nastavení PHP tak, aby odpovídalo vašim vlastním serverovým zdrojům a konfiguracím.
# Modify PHP settings
php_value session.use_trans_sid 0
php_value register_globals 1
Aby aplikace automaticky zjišťovala a přidávala nová síťová zařízení do databáze a kontrolovala a aktualizovala jejich stav každých pět minut, přidejte následující úlohy crontab, které se mají spouštět s uživatelskými právy Apache:
crontab –u www-data –e
crontab úryvek ze souboru:
# Run a complete discovery of all devices once every 6 hours
33 */6 * * * /var/www/discovery.php -h all >> /dev/null 2>&1
# Run automated discovery of newly added devices every 5 minutes
*/5 * * * * /var/www/discovery.php -h new >> /dev/null 2>&1
# Run multithreaded poller wrapper every 5 minutes
*/5 * * * * /var/www/poller-wrapper.py 4 >> /dev/null 2>&1
To je vše! Úspěšně jste nainstalovali a nakonfigurovali aplikaci pro monitorování sítě Observium v Debianu 9. Protože však server Apache HTTP používá k šifrování provozu mezi serverem a prohlížečem návštěvníka certifikáty s vlastním podpisem, vždy se v prohlížeči návštěvníka vygeneruje a zobrazí varovná zpráva. Toto varování může být nepříjemné pro správce sítě, kteří navštíví webovou aplikaci přes nový prohlížeč nebo IP adresu. V takovém případě byste si měli zakoupit certifikát vydaný důvěryhodnou certifikační autoritou nebo získat pár certifikátů zdarma od Let’s Encrypt CA.
Další vlastní konfigurace týkající se aplikace Observium naleznete na stránce dokumentace na následující adrese: http://docs.observium.org/