Pazartesi, Eylül 30, 2013

Aşırı büyümüş Zabbix / MySQL veritabanını küçültmek

Zabbix, açık kaynak izleme yazılımları içinde belirli bir yere sahip. Kullanımı da huyuna suyuna alışınca zor değil. Ama gelgelelim, tetik / monitor / uygulama gibi veri üreten öğelerini doğru ayarlamazsanız, MySQL veya PostgreSQL farketmeksizin veritabanını fena halde şişiriyor.

Benim de başıma geldi. Test ortamımdaki veritabanı bir şekilde büyüdü ve sunucuyu ya genişletme, ya da Zabbix'i yeniden kurma, ayarlarımı vs.yi feda etme noktasına getirdi. Zaman dar, test edecek çok şey var, hay bin kunduz durumu. Tabi başka ara seçenekler de var ama benden şu an bunu beklemek insafsızlık olurdu. Ama bunun bir Prod sistemi olduğunu varsaysak, bu veritabanının büyümesinin bir yerde başağrısı yapacağı muhakkak. O nedenle sanki prodmuş gibi sebep ve sonuçlarını incelemek lazım. En azından buna zamanım var.

Öncelikle yapılması gereken şablonların içindeki öğeleri iyi ayarlamak. Ekran görüntüsünde de görüleceği üzere "update interval" ve "keep history" değerlerini elden geçirmek ve bunu her öğe için yapmak gerekli. Yol yakınken , işin başında yaparsanız ne ala. Yoksa benim gibi 90 ve üzeri öğeyi tek tek güncellemeniz gerekebilir. (Bunun toptan yapılması ile ilgili de çalışmalar var ama benim ilgi alanım dışında.)


Bu bittikten sonra zabbix hizmetini kapatıp açtım. Yaklaşık 1 milyon kayıt temizlendi sistemde. Ama mysql veritabanı içindeki alanlar temizlenmedi. Çok fazla anlamam mysql'den ve optimizing işleminin de zabbix tablolarında uygulanamadığını ve dolayısıyla kazanılan alanın fiziksel olarak DB'nin küçültülmesi şeklinde geri dönmediğini söyleyebilirim.

"Table does not support optimize, doing recreate + analyze instead |"

Ardından da aşağıdaki linkteki arkadaşımızın son derece başarılı makalesini aynen uygulayarak zabbix veritabanını dump edip, silip, ardından geri yükledim. Kendisinin eline sağlık bu makale için.

http://www.syslogs.org/mysql-innodb-database-ebatinin-kucultulmesi-shrink-ibdata1/

Bu işlem sonucunda yaklaşık olarak MySQL veritabanını %35 oranında küçültmeyi başardım.


Çarşamba, Eylül 25, 2013

what is the location of the directory which contains your xorg modules ?

Splunk testlerine bir de Solaris sunucu katayım dedim. Ben genelde X Window veya başka bir GUI kullanmam Solaris sunucularımda ve tercih de etmem. Ama hızlı çalışmak zorundaydım ve Solaris 10 9/10 sunucumu ayarlarına özenmeden, grafik modda kurdum.

Sonra da üzerine VMware tools yükleyeyim dedim. Ama gördük ki, bir sıkıntı var. Kurulumun ortasında aşağıdaki soruyu soruyor ve ben cevabını bilmiyorum :

- what is the location of the directory which contains your xorg modules ?

Aradık, taradık, bulduk. Cevap : /usr/X11/lib/modules/



Cuma, Eylül 20, 2013

Netapp storage simulator sürekli çöküyor.

Bir şekilde bir Netapp ONTAP eğitimine gitmek hasıl oldu. Eğitim güzel, eğitmen ilgili ve bilgili (Datacore). Tabi öğrenilenleri akşam tekrarlamak lazım.

Netapp storage simulator'u indirdim taşınabilir bilgisayarıma. Tar dosyasının içinden VMware formatında bir sanal makina çıktı. Hafiften sitem. Neden OVF veya VirtualBox formatı yok ki ?

Neyse, çok uzatmadan bu sitemi , makineyi açtım, VMware player indirdim ve kurdum. Başlat ! Ama o ne ?
Açılış sonrası sürekli ben tam göremeden bir mesaj verip kapanıp açılıyor.

Çözüm :

CTRL+C ile boot menu'ye girip, 4.maddeden diskleri yeniden sıfırlama seçeneğini seçmek ve kişiye özel yeni bir kurulum yapmak lazım. Sonra sıkıntısız çalışıyor.


Pazartesi, Eylül 16, 2013

Splunk / OSSEC entegrasyonu.

OSSEC her zaman çok sevdiğim bir HIDS yazılımı oldu. UNIX - Linux sistem gruplarında hep tercihimi OSSEC'ten yana kullandım. Şu an yaptığım Splunk testlerinde de Splunk- OSSEC entegrasyonunu deniyorum. Okuduğum tüm belgeler entegrasyonun çok basit ve sorunsuz olduğunu söylüyordu ama beklendiği üzere, tüm Splunk macerasında olduğu üzere burada da bir arıza elbette ki çıktı.

Senaryomuz şu ; geçen haftadan beri kullandığım Splunk üzerine OSSEC kurarak, test ortamımdaki OSSEC sunucumuzu buraya taşımış oldum. Ardından da Splunk App for OSSEC kuruldu. Ardından çalışması, logları okuması, bir şeyler göstermesi beklendi. Ama olmadı tabi ki.

Biraz uğraştırdı. Neler okumadım ki, kimlerin bloglarına girmedim ki. Garip olan, herkesin son derece basit bir şekilde kurmuş ve çalıştırmış olmasıydı. Zaten bundan da fena halde şüphelendim.

Sebebi yaklaşık 10 saat sonra şuradan çıktı. Ben bir düzen ve tertip hastasıyım ya, tüm kurulumlarımı standart klasörlerime yaparım. OSSEC'i de /opt/ossec altına kurmuştum. Oysa ki Splunk App for OSSEC, uygulamayı /var/ossec altında istiyor.

Kurulumu yeniden ve bu klasöre (/var/ossec) yapınca herşey düzeldi. Kurulum çok basit olduğu için burada anlatmıyorum.

Not : Açıkçası Splunk TA ayarlarında bu isteğin hard-coded mı olduğunu yoksa parametrik mi olduğunu araştırmadım. Bir sonraki sefere işallah.


Salı, Eylül 10, 2013

UNIX sunucularından ajan ile Splunk'a veri gönderme

Splunk'ı giderek daha fazla seviyorum demem boşuna değil. Ekosistem içindeki uygulamalar güzel iş çıkartıyor. Oldukça yüksek sayıda ek uygulama ile, bililnen bir çok sistem ve cihazı destekler hale gelmiş, giderek de bu desteği arttıran bir ürün.

Unix sunucularından Splunk'a yalnızca syslog değil, sistem bilgisi ve diğer önemli dosya ve aktivitelere dair bilgileri nasıl gönderirim sorusunun cevabı aşağıda.

- Universal forwarder indirilecek.
http://www.splunk.com/download/universalforwarder

- Ubuntu 12.04 sunucusuna kurulur.
# dpkg -i splunk-forwarder.deb

Bu pakete ek olarak Splunk add for Unix / Linux da kurulmalı.

http://apps.splunk.com/app/833# (paket /opt/splunkforwarder klasörüne indirilecek).
# cd /opt/splunkforwarder
# tar xvfz Splunk_TA_nix-4.7.0-156739.tgz
# chown -R splunk:splunk Splunk_TA_nix
# mkdir /opt/splunkforwarder/etc/apps/Splunk_TA_nix/local
# cp /opt/splunkforwarder/etc/apps/Splunk_TA_nix/default/input.conf /opt/splunkforwarder/etc/apps/Splunk_TA_nix/local
# vi /opt/splunkforwarder/etc/apps/Splunk_TA_nix/local/input.conf
       (aktif duruma getirmek istediğimiz tüm seçeneklerde 1 > 0 yapıyoruz.
# chown -R splunk:splunk /opt/splunkforwarder/etc/apps/Splunk_TA_nix

Agentı, splunk sunucusuyla konuşacak şekilde düzenliyoruz.

- Splunk sunucusunda 9997 portundan dinleme yapacak bir "Receiver" oluşturuyoruz.
# /opt/splunkforwarder/bin/splunk add forward-server 192.2.1.10:9997
          kullanıcı adı (değiştirmedikçe) admin:changeme
# /opt/splunkforwarder/bin/splunk start (dikkat root kullanıcısı ile başlattık. Dileyen bu adımda splunk'a geçebilir)

Bu konuyla ilgili karmaşık ama sabırla okununca bilgi veren belge :
http://docs.splunk.com/Documentation/Splunk/latest/Deploy/Deployanixdfmanually

Sonuç :



Pazartesi, Eylül 09, 2013

VMware ESX'ten Splunk'a log yönlendirmek.

VMware ESX sunucularından Splunk'a nasıl log yönlendirilebileceğine dair bir çalışma yaptım. Yordam aşağıdaki gibidir.

 yordamla, ESX'ten sysloga düşen tüm mesajlar ve host hareketleri Splunk'a yönlendirilmektedir.

(ESX sunucusunda)

# vi /etc/syslog.conf
            *.*             @splunksunucusu.domain.local
# esxcfg-firewall -o 514,udp,out,syslog && esxcfg-firewall -l
# vi /etc/vmware/hostd/config.xml
                 
                outputToConsole>true
                 
olarak değiştirilmeli ve kayıt edilmelidir.

# service mgmt-vmware restart

Mutluyuz, basit ve temiz iş. Bu arada Splunk'tan çok memnunum, ona dair izlenimlerimi daha sonra yazmayı planlıyorum.


Cuma, Eylül 06, 2013

Splunk universal forwarder agent, Windows 2008 + Active Directory yükleme problemi

Splunk 5.x sürümünün Universal Forwarder agentını denemek üzere test ortamımdaki Windows 2008 DC sunucuma yüklemek istedim.

Yordamı aynen uyguladım ve kullandığım servisi hesabı ile ilgili sıkıntım yoktu. Ayrıca servis hesabı "Domain Admin' seviyesinde yetkiliydi. Ancak sürekli aşağıdaki hata mesajını alıp kurulumu geri çekmek zorunda kaldım.

"splunk installer was unable to start splunk services exit code '4'"

Çözüm manasız, garip ve basit.

servis hesabını "domain\account" yerine "account@domain" şeklinde yazınca düzeldi.


Perşembe, Eylül 05, 2013

Symantec SSIM ürününün sonu...

Symantec ürünün artık devam etmeyeceğini açıkladı.

http://www.symantec.com/connect/forums/symantec-security-information-manager-ssim-being-discontinued-new-customer-sales-september-5-?utm_content=buffere4d01&utm_source=buffer&utm_medium=twitter&utm_campaign=Buffer


Splunk / Citrix Netscaler log entegrasyonu nasıl sağlanır ?

Splunk'a bir Citrix Netscaler WAF / LB' yi bağlamak ve logları görebilmek Splunk belgesinde anlatıldığı kadar kolay değil. Ben de belgeye kanıp kolay olduğunu sanmıştım ama beni tahminimden biraz daha uğraştırdı. Üstelik güncel belgelerde bunun nasıl yapılacağına dair bir yordam da bulunmuyor.

Neyse biz bulduğumuz yoldan devam edelim.

Zannettiniz ki aşağıdaki belgeyi aynen uygulayınca Splunk Citrix Netscaler App'da verileriniz görünecek. Yok olmuyor öyle. Ekran boş geliyor.

http://support.citrix.com/article/CTX132533

Ne kullandım bunu yaparken ?

- Splunk 5.0.4, build 172409
- Citrix Netscaler NS9.3: Build 50.3.nc

1- Öncelikle Netscaler'da uygun kural oluşturulacak. Portun 8514 olduğuna dikkat.


2- Audit policy oluşturulacak ve demin oluşturduğumuz server ile ilişkilendirilecek. Daha sonra ekranın altında yer almayan ve resimde görülmeyen Global Policy ile bağdaştırılacak.


3- Splunk uygulamasında "Index" oluşturulacak. Bilgiler aynen girilmesi faydalı olacaktır.


4- Splunk'ta "Data Input" oluşturulacak.


5- Data Input aşağıdaki bilgileri aynen sağlamalı.


6- Splunk App for Netscaler aşağıdaki linkten indirilecek ve Splunk'a eklenecek.


7- Oldu da bitti maşallah. İlk loglar artık düşmeye başlamış olmalı.