Cacti作為一個開源網絡管理系統已經有較廣泛的應用,但是該系統部署較為復雜,限制了其在國內的推廣。CactiEZ 作為一個集成了Cacti和一些常用插件的再發行系統,具有安裝便捷和使用簡單的特點。本文通過對CactiEZ 系統進行分析,對CactiEZ的一些內部概念進行了闡述,詳細介紹了CactiEZ 常用插件的功能和使用方法,并對CactiEZ 的使用進行了總結。
CactiEZ 介紹和基本部署
Cacti 軟件基于PHP、MySQL、SNMP 和RRDTool,雖然也有Windows 版本,但由于效率和穩定性原因,一般安裝于Linux 操作系統上。如果從頭部署C a c t i,需要按順序經歷安裝Linux 系統,進行apache、MySQL和iptables 等系統配置,再安裝Cacti 和按需安裝各種插件等繁瑣的過程,期間稍有差錯就有可能導致安裝的失敗。在這里向大家推薦使用CactiEZ(Cacti Easy)來快速部署cacti。
CactiEZ 是一個基于C e n t O S 的免費再發行版本,它其實是一個預裝好了Cacti 和一些常用插件,并重新編譯而成的CentOS 操作系統。我們可以直接下載CactiEZ 中文版I S O 文件后,按安裝CentOS 的步驟安裝即可直接使用。在實際安裝過程中,我們在VMware Esx 上新建了一個雙CPU,4G 內存和300GB 硬盤的虛擬機,并將CactiEZ 的64 位ISO文件連接到虛擬機的光驅直接開始安裝,整個安裝過程自動完成,整個安裝過程僅僅耗時15 分鐘左右。
由于是通用再發行版本系統,我們需要根據實際情況修改幾個默認參數:
1. 安裝后的root密碼為默認的CactiEZ ,為安全起見,登陸系統第一件事就應該是利用“passwd”命令將root 密碼改為自定義強密碼;
2. 修改“/ etc/ sysconfig /network -scripts/ifcfg-eth0”文件,配置實際網絡環境下的I P 地址、掩碼、網關等等參數,若有多個網卡接入,需同時按實際需求配置其他網卡,并重啟網卡使之生效;
3. 在瀏覽器里輸入配置好的I P 地址,打開CactiEZ 的登錄頁面,默認用戶名和密碼為:“admin/admin”,登錄成功后,按系統提示將admin 用戶的密碼改為新的自定義強密碼。
經過上述三個步驟,CactiEZ 的基本部署已經順利完成。
CactiEZ 的功能配置和使用
管理員登錄到CactiEZ 系統后直接進入控制臺界面,其中的“圖形”、“閾值”、“監視器”、“Syslog”和“氣象圖”均為高校網絡運維管理的常用插件,接下來會對這些功能進行詳細介紹。
CactiEZ 中的常用概念
在CactiEZ 中有些常用的概念比較重要,主要有以下這些:
1. 主機;2. 數據源;3. 數據模板;4. 圖形模板;5. 主機模板;6. 閾值模板。
在已安裝好的CactiEZ 中,已經集成了很多常用的主機模板和各種數據、圖形、閾值模板,基本能滿足日常管理需求。而且系統提供了各種模板的導入導出功能,可以方便導入各種第三方模板來擴展系統。實際使用中,管理員按設備實際情況添加主機和對應的主機模板即可。
添加主機是指系統中定義某臺主機的具體信息,如主機描述、網絡地址、主機模板、單獨關聯的數據和圖形模板、監控方式(SNMP或ICMP 或兩者兼有)、SNMP 參數等。一旦定義好主機后,Cacti 系統將以固定周期(默認為5 分鐘)對所有主機進行輪詢。
在系統中添加主機的同時,由于一般會采用SNMP協議采集數據,這時就需要被監測設備同時也開啟了SNMP功能,并配置了與CactiEZ 主機相符的SNMP參數才能保證系統的正常數據采集。
CactiEZ 中的插件和功能
1. 圖形插件:
圖形插件是Cacti 系統的基本插件,為網絡管理員們提供了最常用的繪圖功能,該功能基于MRTG(多路由器流量繪圖器)以趨勢圖的形式顯示系統采集到的各種設備狀態信息,常常用來顯示網絡設備端口的流量,服務器的CPU、內存和硬盤的使用率,機房環境溫度和UPS 狀態等信息。
2. 閾值插件:
閾值插件主要用于被監控的設備參數異常時的提示和報警功能,一般用于設備端口狀態(up 或down)、帶寬使用率、機房環境、設備CPU 或硬盤使用率等參數的監控告警。
我校東營校區數據機房使用的是APC 公司的Smart-UPS VT 40kVA 不間斷電源,其支持SNMP Agent 功能,并已在添加在主機列表中使用“APC Smart UPS”的主機模板正常顯示和采集數據。為添加其閾值報警功能,我們在“控制臺- 閾值模板”界面點擊右上角“添加”按鍵,將出現閾值模板添加向導,首先需要選擇該閾值模板對應的數據源模板:“APC ? Input Voltage”,然后進入詳細設置頁面,該頁面內有以下重要參數需要設置:
數據字段:與前一步選擇的數據模板相關,某些數據模板內可能有好幾個字段,需要選擇正確的數據源,這里選擇“Input”;
閾值類型:這里選擇“上/ 下限設置”;
上限:這里填入“240”,表示電壓正常值的上限為240V;
下限:這里填入“180”,表示電壓正常值的下限為180V;
容忍時長:5 分鐘,數據源的值高于或低于閾值的容忍時間,超過5 分鐘將會觸發報警。
建立和保存好該閾值模板后,由于已于數據模板綁定,當為這臺UPS主機添加圖形操作時的“為這個主機添加圖形”頁面下,會有“自動添加閾值”的鏈接,點擊即可為該主機添加輸入電壓的閾值監測。該閾值模板也同樣適用于網絡機房的APC Silcon DP340E 不間斷電源監測。
當有閾值報警被觸發或恢復正常后,系統閾值頁面會有高亮顯示來提醒監控室值班人員,并利用SMTP協議對系統設定的目標郵箱發送報警郵件。
3. 監視器(Monitor)插件
監視器插件的使用很簡單,在添加主機或者修改主機的界面中有一個“監視主機”的選項,選擇該選項后,在“監視器”頁面上就會顯示該主機的當前狀態。
在實際使用中,我們發現監控器插件的功能不僅僅局限于內部網絡的監測,甚至可以將其擴展到對外部網絡的健康狀況監測。我們可以將各個需要監控外部節點網絡地址作為主機添加到系統中來進行存活和延時監測,此時建立的主機不用選擇數據模板,主機存活檢測方法選擇為I C M P并按實際需要設置檢測超時時間。實際中,我們將校園網每個出口的下一跳I P 地址和常用站點域名作為主機進行了監測,這樣就能對外部網絡的健康狀況進行一個簡單的監測和告警。
當有告警情況出現時,除了在顯示頁面有聲光告警提示,與閾值插件相同的是,監視器中主機的告警和恢復信息也將通過郵件發送至管理員指定的目標郵箱。
4.Syslog 插件
利用系統附帶的syslog 插件還可以把監控主機同時打造成為一臺遠程日志服務器。在Unix 類系統和網絡設備中,syslog 或rsyslog 服務被廣泛運用于系統日志的記錄,在沒有配置遠程日志服務器的情況下系統日志只能記錄到設備本地。由于網絡設備可能存在于校園的每個角落,因此查看設備的本地日志對于網絡管理員來說是非常不方便的,syslog 插件剛好為我們解決了這個問題。
系統端的syslog 服務基本上不用配置,只需在 “控制臺- 設置-Syslog”頁面啟用即可,實際使用中真正需要注意的是被監控主機,也就是syslog 日志發送端的配置:
(1) 在U n i x 類操作系統上,一般需要確定其syslog服務已經安裝并正常運行,一般syslog 的配置文件路徑為“/etc/syslog.conf”,我們需要通過vi 命令將其打開,并在其最下方新增一行命令:
*.info;mail.none;authpriv.none;cron.none@dycactiez.upc.edu.cn
命令前部分是需要記錄的日志類型,“@”符號后是日志服務器網絡地址,可以是域名,也可以直接為I P 地址。保存該文件后重啟syslog 服務即可生效;
(2) Syslog在網絡設備中的具體配置命令區別于網絡廠家,但是都大同小異,下面以H3C 交換機配置命令為例:
info-center loghost 202.194.145.42 facility local4
命令表示,指定202.194.145.42 為日志主機,并在日志服務器上歸類為local4;rfc3164。
當被監控設備配置完成后,會將日志發送到CactiEZ 主機上,管理員可以通過“Syslog”頁面查看所有設備的上傳日志,系統同時支持按主機I P 地址、日志時間和日志級別進行記錄篩選。
5. 氣象圖(Weathermap)插件
氣象圖插件主要用于繪制和顯示全網拓撲,并可以用不同顏色來表示鏈路的使用率,對網絡管理員來說非常實用。通過氣象圖,網絡管理員可以輕松檢查主干的運行情況,當出現網絡故障時,通過氣象圖也能輔助管理員快速為故障定位。
點擊氣象圖頁面最下方有個“編輯器”鏈接可以進入氣象圖編輯頁面,新建一個配置文件并進入編輯器頁面后會發現這個編輯器是一個所見即所得的編輯界面,使用起來比較簡單,主要操作是添加節點和添加連接。由于已經和c a c t i 集成,添加的節點和連接后只需要選擇其對應的數據源就能定義節點和連接的具體顯示內容。具體建立氣象圖配置文件的方法可以參見Weathermap 官方網站(http://www.network-weathermap.com/)。
不過有一點需要使用者尤其注意,雖然CactiEZ 有用戶權限控制,但是氣象圖插件的編輯器頁(plugins/weathermap/editor.php)沒有身份驗證功能,因此存在著任意用戶都能打開該頁面并對氣象圖配置文件進行創建、修改和刪除的漏洞。為了避免該漏洞,我們需要在系統apache 中對該頁面做IP 訪問限制。方法如下:
(1) 編輯apache 配置文件:
vi /etc/httpd/conf/httpd.conf
(2) 在配置文件最后加上如下命令,僅允許172.33.90.0/24 網管網段訪問editor.php 頁面:
<Directory /var/www/html/plugins/weathermap>
<Files editor.php>
Order Deny,Allow
Deny from all
Allow from 172.33.90.0/255.255.255.0
</Files>
</Directory>
(3) 使用“service httpd restart”命令重啟apache,啟動成功后,編輯器頁面只能通過網管網段IP 地址訪問。
通過CactiEZ 的部署,網絡管理員可以快速的搭建一個較為完善的網絡環境監測和告警平臺,在實際操作中,我們還可以將告警郵件設置為發送到支持手機短信提醒的郵箱,這樣一來還能實現在大多數網絡故障情況下的手機短信告警。
(作者單位為中國石油大學(華東)網絡及教育技術中心)
